新康孝からの情報

【概要】

axpdfium.spi v0.01 には、意図しない DLL を読み込む脆弱性が存在します。 本脆弱性が悪用された場合、悪意のある第三者の攻撃により本プラグインを使用する アプリケーションを実行した権限で任意のコードが実行される危険性があります。

【対象バージョン】

axpdfium v0.01 (2015/01/15)


【確認方法】

Susuie プラグイン対応の各アプリケーションから axpdfium.spi の設定/情報を表示することで確認可能です。 具体的な手順は各アプリケーションのドキュメント等を参照ください。
axpdfium.spi の拡張子を一時的に dll に変更し、エクスプローラー等からプロパティを表示し、 詳細タブの製品バージョンでも確認可能です。

【影響】

本プラグインが読み込まれた際に、特定のフォルダから特定の DLL を読み込む場合があります。 悪意のある第三者の DLL が置かれていた場合にその DLL を読み込み、 その結果本プラグインを使用するアプリケーションを実行した権限で 任意のコードが実行される危険性があります。

【対応方法】

axpdifum v0.02(2018/05/15) 以降に更新してください。 設定ファイル等未使用であるため上書きで問題ありません。