インストーラ、自己解凍書庫ファイルを実行する前に細心(最新)の注意が必要!‥‥という記事

 JVN Japan Vulnerability*1 Notes のフィードに載った記事

  • Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題
    (JVNTA#91240916 最終更新日:2018/04/10)

    概要

     Windows アプリケーションに対して DLL 読み込みやコマンド実行に関する脆弱性が多数報告されています。

    影響を受けるシステム

    • Windows アプリケーション
       (おもにインストーラ作成ソフトウェアを使用して作成されたインストーラ、圧縮解凍ツールで作成された自己解凍書庫ファイル、ポータブルアプリなど)

    対策方法

    • アプリケーションを使用するユーザ向け:
       インストーラ、自己解凍書庫ファイル、ポータブルアプリを実行する際、同一ディレクトリ内に不審なファイルが存在しないことを確認する
       インストーラ、自己解凍書庫ファイル、ポータブルアプリを実行する際には、同一ディレクトリ内に不審なファイルが存在していないことを確認してから実行するか、新たに作成した一時ディレクトリにファイルをコピーしてから実行してください。
      また、外部サイトからダウンロードしたファイルを、ダウンロードディレクトリに置いたままにしないことを推奨します。たとえば、細工された DLL ファイルをそれと知らずにダウンロードし、さらにインストーラをダウンロードしてそのまま実行すると、細工された DLL ファイルが同一ディレクトリに置かれた状態でインストーラを実行することになるため、危険です。
    • インストーラや自己解凍書庫ファイルを作成する開発者向け:
       対策済みのバージョンを使用する
       (以下省略)
    • インストーラ作成ソフトウェアや圧縮解凍ツールの開発者向け:
       対策済みバージョンを作成する
       (以下省略)


 ややこしい事態になったものだ...

  • 最近ダウンロードした「MyJVNバージョンチェッカ for .NET」は lzh ファイルだから「良し」として...
  • 『外部サイトからダウンロードしたファイルを、ダウンロードディレクトリに置いたままにしないことを推奨』をどこまで行うか‥‥ だ。
    • インストーラ付きあるいは自己解凍ファイルが対象‥‥ と思うが、MiPS会員に理解できるか...
    • 今日以前のブログを参考にインストールするのは「全て自己責任です!」としか言いようがない...
  • 「自己責任でインストールした」場合、セキュリティの責任は負えない。
     で、MiPSでのインターネット接続は止めよう...
    • MiPS中に、会員がどこのサイトに接続するか‥‥ は監視できない。
    • 会員がダウンロードする場合は、自分のPCに一旦ダウンロードし、そのファイルをコピーする方式にするか...
      • LAN回線が二系統必要になる?



 例えばJTrim、2006.07.13のブログには

  • JTrimのダウンロードとインストール

    ダウンロード と インストール (WindowsXPの場合)

    • WoodyBellsさんのウェブページ に入り、
    • 「FREE SOFTWARE」の下にある[JTrim]をクリック、
    • 「DOWNLOAD」の下にある「セットアップ版」の[JTrim Version 1.53c (1491KB)]をクリックします。
    • 【ファイルのダウンロード−セキュリティの警告】ダイアログボックスの、[実行]をクリックします。
    • Internet Explorer−セキュリティの警告】ダイアログボックスで、名前が“jt153c”となっているのを確認し、[実行する]をクリックします。
    • 【JTrim セットアップ】が始まります。 ◦基本的には、次々進めて問題ありません。(たぶん)
    • インストールが終わると、元の画面に戻りますので、IEを閉じます。
    とあるが、今日現在では「こりゃまずい‥‥」と言うことになる。
    • 最後に「自己責任でお願いします」と明記が必要か‥‥
    • 「他人のブログ」をどう扱うか‥‥ 「自己責任」と書いてなくても、当然「自己責任」ではないだろうか...
    • 「書いてあるとおりに行ったら、ウィルスに感染した」「どうしてくれるッ!」‥‥ ということになると、今後はブログに書けないなぁ〜 となる。
    • 過去のブログも責任を負わせられるのであれば、「閉鎖」するしかない‥‥ かも。

  • JTrimに関しては作者の方で対応をとり、現在はインストール版はないので、問題はない。


*1:vulnerability脆弱性 の意(goo辞書). カタカナ表記はここ