DocuWorks自己解凍文書の任意DLL読み込みに関する脆弱性について

2017年8月31日

対象バージョン

• DocuWorks 8.0.7以前

詳細情報

DocuWorksの自己解凍文書(exeファイル)には、起動時に同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) があります。

そのため、自己解凍文書と同一のフォルダに悪意のあるDLLが存在すると、任意のコードが実行される恐れがあります。

脆弱性への対応

DocuWorksの自己解凍文書作成機能を停止したインストールパッケージを新たに作成いたしました。以下のバージョンで修正されています。

• DocuWorks 8.0.8 新規/アップグレードインストーラ（32bit/64bit版）
• DocuWorks 8.0.8 アップデートインストーラ（32bit/64bit版）
• DocuWorks 7 Hotfix

回避方法

既存のDocuWorks自己解凍文書を利用する場合は、空の新規フォルダを作成し、その中にDocuWorks自己解凍文書(exeファイル)を格納してから、起動して下さい。

また既存のDocuWorks自己解凍文書は、DocuWorks Deskのワークスペースにドラッグ&ドロップすることで、通常のDocuWorks文書に変換することが可能です。

関連情報

JVN#09769017 富士ゼロックス株式会社製の複数の製品における DLL 読み込みや実行ファイル呼び出しに関する脆弱性