ファイル暗号化ソフト「アタッシェケース」に脆弱性--任意コード実行の可能性

  • このエントリーをはてなブックマークに追加

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は12月17日、Hibara Software Libraryが提供する、ファイルの暗号化・復号を行うソフトウェア「アタッシェケース」に実行ファイル読み込みに関する脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。

 アタッシェケースは、設定を「フォルダの場合、復号後に開く」にしてある場合、暗号化されたファイルを復号する際に特定の実行ファイルを読み込む。ver.2.69以前のバージョンは、この際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んでしまう脆弱性が存在する。

 悪用されると、プログラムを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

  • このエントリーをはてなブックマークに追加