帰ってきた「しっぽのさきっちょ」

しっぽのさきっちょ: 2015-11-25 付

Security Advisory Gpg4win

no extension

Windows 用の GnuPG を含む暗号ツール群 Gpg4win の 2.3.0 がリリースされた。

今回のリリースはセキュリティ・アップデートを含み, Advisory も併せてリリースされている。

内容は以下のとおり。

  1. The installer will load and execute other code if it is placed in the same directory as a DLL with the right name. This “current directory attack” or “dll preloading attack” can be part of a remote exploitation for example if the Gpg4win installer is downloaded to a common Downloads directory and the attacker can previously place files there by tricking a user or other software to download files with a specific name to the same place. If the Gpg4win installer is then executed, the other code may run, while the user believes to run only the Gpg4win installer.
  2. There is a “local privilege escalation” during an installer run. Installer runs can happen during a fresh, an update install or a deinstallation. With Windows Vista or later an administrator can log in as user and give higher privileges to a single process using the User Account Control mechanism (UAC). If the installer is started in this way, there is a time window where an attacker running with user privileges can insert code in a temporary directory of the installer that will be executed with the higher privileges bypassing the UAC.

まぁ Windows ではありがちな脆弱性である。 GnuPG 自体に問題があるわけではなく,インストーラのバグっぽい。

世の中は10人にひとりもまともに OpenPGP 製品を使えないらしいのに Gpg4win を使ってる人がどの程度いるのかかなり怪しいのだが,まぁ一応。

影響度はよく分からないが, DLL プリロード攻撃の脆弱性も権限昇格の脆弱性も割とヤバめなので,さっさとアップデートすることをおすすめする。 ひょっとして,これ他の Windows 向けオンラインソフトにも影響出るかなぁ。