お知らせ

バイドゥ株式会社からのお知らせ

2017年06月12日 19:20発表

Baidu IMEのインストーラーが意図しない DLL を読み込んでしまう脆弱性について

■概要

Baidu IME(バージョン3.3.2.16)のインストーラーを実行すると、意図しないDLLを読み込んでしまう脆弱性の存在が判明いたしました。

当該インストーラーと同じフォルダに存在する第三者の意図しないコードを実行される可能性があります。

(*)一例として、当該インストーラーを特定のファイル名のトロイの木馬等と同じフォルダで実行すると、悪意のあるコードが実行される危険性があります。

(2017/07/26 追記)
その後、JPCERT コーディネーションセンターより再度脆弱性をご指摘いただき、修正後、最新バージョンとしてアップいたしました。

■対処

最新バージョン(Ver3.6.1.6)をお使いください。

(2017/07/26 追記)
最新バージョン(Ver3.6.1.7)をお使いください。

Baidu IME

■該当製品の確認方法

影響を受ける製品は以下の製品です。

  • 製品名称:Baidu IME
  • バージョン:3.3.2.16
  • 実行ファイルの体裁:BaiduType_Setup_Light.exe
  • 対象プラットフォーム:64bit版を含むWindows XP/Vista/7/8/8.1/10
    (2017/07/26 追記)
  • 製品名称:Baidu IME
  • バージョン:3.6.1.6
  • 実行ファイルの体裁:BaiduType_Setup_Light.exe
  • 対象プラットフォーム:64bit版を含むWindows XP/Vista/7/8/8.1/10

■謝辞

なお、本脆弱性の報告は橘総合研究所の英利雅美様よりご報告いただきました。謹んでお礼を申し上げます。

(2017/07/26 追記)
JPCERT コーディネーションセンターよりご報告をいただきました。謹んでお礼を申し上げます。

■関連情報

(2017/08/03 追記)
本年8月3日にJPCERTコーディネーションセンターより関連情報が発表されました。

JVN#17788774
JVN#17788774

■連絡先

info_jp@baidu.com


■更新履歴

  • 2017年06月12日 19:20 発表
  • 2017年07月26日 18:00 発表
  • 2017年08月03日 16:30 発表