Windows版Pythonに脆弱性 - IPA

情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は10月1日、Windows版のPythonにおける任意のDLL読み込みに関する脆弱性情報を、JVN(Japan Vulnerability Notes)において公表した。

Windows版Pythonは、実行の際に特定のDLLを読み込むが、DLLを読み込む際の検索パスに問題があり、カレントディレクトリ内にある「readline.pyd」という名の意図しないDLLを読み込んでしまう脆弱性が存在する。これにより、python.exeが持つ権限で任意のコードを実行される可能性がある。

IPAらは回避策として、python.exeを実行する際、カレントディレクトリ内にreadline.pydという名のファイルが存在しないことを確認することが有効であるとしている。