どうも、Addin for ExcelにもDLLロード(に関連した)脆弱性があるような気がしているのだが、そういう報告というかコメントも無く。
Addin for Excel自体DLL(xll)だから、DLLでプロセスの設定を変えちゃうとマズイわけで、それ自体問題になることは、多分、無いはずなんだけど、何の対策もしていなければ・・・
自身(xll)のAPIをフックしちゃったら、完全な対策ができそうなんだけど、そこまでする必要は無いかなと。
でも、Excel95とかで使えちゃう以上、脆弱性対策できるのはこいつしかないわけだしなぁ・・・
一点だけ確実なのは、コマンドラインツール(Professional, Enterprise)の設定ファイルを表示するときの処理。
notepad.exeを呼び出すんだけど、これは脆弱性として引っかかっているので、対策しなきゃならんかな。
これは次回マイナーバージョンで対応しよう。
xllの方はどうするかなぁ・・・
コメントしちゃいなよ