概要
Anthropic Claude for Windows の インストーラー(Claude Setup.exe)v1.1.3363 未満 に DLL 検索順序ハイジャック の 脆弱性 が 存在 します。インストーラー は UAC による 権限昇格後 に、自身 の ディレクトリ から DLL(profapi.dll 等)を 読み込みます。攻撃者 が インストーラー と 同じ ディレクトリ に 悪意 の ある DLL を 配置 している 場合、昇格 された 権限 で 任意 の コード が 実行 されます。これは インストーラー 実行時 のみ 影響 する 脆弱性 で あり、インストール済み の Claude アプリケーション に は 影響 しません。信頼 できない ソース から ダウンロード した インストーラー を 使用 しない こと が 重要 です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.8 |
| 深刻度 | HIGH |
| 攻撃元区分 | ローカル |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-427(制御されていない検索パス要素) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Claude for Windows (Claude Setup.exe) | Anthropic | v1.1.3363 未満 |
修正 バージョン と 回避策
- 修正: v1.1.3363 以降 へ アップデート してください
- 回避策: インストーラー を 実行 する 際 は、専用 の 空 の ディレクトリ に 配置 してから 実行 してください
- 注意: 公式サイト 以外 から ダウンロード した インストーラー を 使用 しない でください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。