カレントディレクトリのDLLを読み込まないようにする
Issue #358
closed
お世話になってます。
カレントディレクトリのDLLを読み込まないようにする様にしてはいかがでしょうか。
Susieプラグインの中には 、安直にLoadLibrary() を行っているものがありますが、
それですとアプリケーション自体にCWD攻撃に対する脆弱性が発生します。
(具体名は避けますが、現在公開されているプラグインの中に該当するものが存在します。)
https://support.microsoft.com/ja-jp/help/2389418/secure-loading-of-libraries-to-prevent-dll-preloading-attacks
そのため、アプリケーション側の防御手段として SetDllDirectory("") を行うことが望ましいと思います。
もっと具体的な手順が必要でしたら別途ご連絡します。
参考までに、対応パッチを添付します。
ご検討をよろしくお願いします。
Comments (3)
-
repo owner -
repo owner - changed status to resolved
セキュリティに関する重要なご指摘ありがとうございます。
アプリの起動直後にSetDllDirectory("")を呼ぶように修正いたしました。 -
repo owner - changed status to closed
- Log in to comment
カレントディレクトリのDLLを読み込まないよう修正 (refs
#358)→ <<cset 6daed83bdf9c>>