プレス発表 任意のDLL／実行ファイル読み込みに関する脆弱性の注意喚起：IPA 独立行政法人 情報処理推進機構

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、任意のDLL(*1) ／実行ファイル読み込みに関する弱点（脆弱性）に関して、2010年9月から11月にかけて届出およびJVNによる脆弱性公表が増加している状況を鑑みて、ソフトウェア開発者に対して脆弱性を作りこまない実装を呼びかけるため、「注意喚起」を発することとしました。 2010年9月から11月にかけて、複数のソフトウェアにおいて、任意のDLL／実行ファイル読み込みに関する脆弱性(*2)がIPAに届けられ、ソフトウェア開発者が脆弱性を修正後、JVN(*3) で脆弱性対策情報を公表したものが13件あります。 IPAでは、同種の脆弱性に関する届出・公表が続いているため、この脆弱性が存在するソフトウェアが他にも数多く存在する可能性があると考え、ソフトウェア開発者向けに、脆弱性を作りこまないように注意喚起を発信することとしました。ソフ

[kaito834]

2010年11月、IPAによる DLL Hijacking（Binary Planting）に関する開発者向けの注意喚起。IPA が発した DLL Hijacking の問題が見つかったソフトウェアの注意喚起やマイクロソフトのガイドラインもリンクしている

[msakamoto-sf]

LoadLibrary()はフルパス指定、検索する場合はSetDllDirectory("")でCWDを除外する。

[ukky3]

RT 任意のDLL／実行ファイル読み込みに関する脆弱性の注意喚起 -

[rin51]

デバッグするときはこのテを使うんだよね。mockとしてのDLLを用意して以下略