ダウンロードフォルダから直接インストーラーをキックすると、もしダウンロードフォルダにDLLがあると、そっちを呼んじゃう可能性があるって問題。東内問題って僕は呼ぶｗ

DLLインジェクション攻撃とは、ユーザーがプログラムを実行したときに、攻撃者が用意したDLLファイルを読み込ませてウイルス感染などを行う攻撃。DLLファイルは、プログラムの部品のようなもの。一般に、複数のプログラムが共通で利用する機能をDLLファイルで用意する。
　DLLファイルはシステムフォルダーなどに置き、さまざまなプログラムがそのシステムフォルダーからDLLファイルを読み込む。
　ところがWindowsは、プログラムの実行ファイルと同じフォルダー（カレント）に、読み込もうとするDLLファイルと同名のファイルがあると、そのファイルを優先して読み込む仕様になっている。攻撃者が用意した不正なDLLファイルが実行ファイルと同じフォルダーに置かれると、その不正DLLファイルを読み込んでしまう可能性がある。
　JVNの注意喚起によると、この脆弱性を持つインストーラープログラムが複数見つかっているという。インターネットからダウンロードしたファイルは、通常ダウンロードフォルダーに保存されるため、細工されたDLLファイルが紛れ込みやすい。インストーラーと同じフォルダーに不審なファイルがないかをプログラム実行前に確認するか、新規でフォルダーを作成してその中でプログラムを実行する、などの対策が必要だとしている。

ダウンロードフォルダーからのインストールは危険、JVNが注意喚起 | 日経 xTECH（クロステック）

関連URL

• ダウンロードフォルダーからのインストールは危険、JVNが注意喚起 | 日経 xTECH（クロステック）