「アタッシェケース」で作成された暗号化ファイルに任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、HiBARA Softwareが提供するオープンソースのファイル暗号化ソフト「アタッシェケース」で作成された自己実行可能形式の暗号化ファイルにDLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「アタッシェケース ver.2.8.3.0 およびそれ以前(CVE-2017-2271)」「アタッシェケース ver.3.2.2.6 およびそれ以前(CVE-2017-2272)」で作成された自己実行可能形式の暗号化ファイルには、DLLを読み込む際の検索パスが原因で、意図しないDLLを読み込んでしまう脆弱性が存在する。この脆弱性が悪用されると、自己実行可能形式の暗号化ファイルを実行している権限で、任意のコードを実行される可能性がある。JVNでは、脆弱性による影響を軽減するためのワークアラウンドを複数紹介している。
《吉澤 亨史( Kouji Yoshizawa )》