独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月15日、HYPER SBI 2のインストーラにおけるDLL読み込みに関する脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受ける製品は以下の通り。
HYPER SBI 2 ver.3.20.0より前のバージョン
株式会社SBI証券が提供するHYPER SBI 2のインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまうファイル検索パスの制御不備(CVE-2026-42936)の脆弱性が存在し、細工されたDLLファイルを同じディレクトリに置いた状態でインストーラを実行すると、インストーラを実行している権限で任意のコードを実行される可能性がある。
JVNでは、製品をインストールする際は最新版のインストーラを使用するよう呼びかけている。なお開発者は、ver.3.20.0で本脆弱性の対策を行っている。
