Susieプラグイン「axpdfium.spi」における任意の DLL 読み込みに関する脆弱性

最終更新日: 2018/05/16

概要

axpdfium.spi v0.01 には、意図しない DLL を読み込む脆弱性が存在します。
本脆弱性が悪用された場合、悪意のある第三者の攻撃により本プラグインを使用する
アプリケーションを実行した権限で任意のコードが実行される危険性があります。

対象バージョン

axpdfium v0.01 (2015/01/15)

なお本項公開時点までは該当バージョンのみが公開されていました。

確認方法

Susuie プラグイン対応の各アプリケーションから axpdfium.spi の設定/情報を表示することで確認可能です。
具体的な手順は各アプリケーションのドキュメント等を参照ください。

axpdfium.spi の拡張子を一時的に dll に変更し、エクスプローラー等からプロパティを表示し、
詳細タブの製品バージョンでも確認可能です。

影響

本プラグインが読み込まれた際に、特定のフォルダから特定の DLL を読み込む場合があります。
悪意のある第三者の DLL が置かれていた場合にその DLL を読み込み、
その結果本プラグインを使用するアプリケーションを実行した権限で
任意のコードが実行される危険性があります。

対応方法

axpdifum v0.02(2018/05/15) 以降に更新してください。
設定ファイル等未使用であるため上書きで問題ありません。

更新履歴

2018/05/16 脆弱性情報公開

連絡先

yak_ex@mx.scn.tv