独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月8日、LINE WORKS Driveエクスプローラーにおけるコードインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。中川恒氏が報告を行っている。影響を受けるシステムは以下の通り。
Driveエクスプローラー(macOS版) v3.5.5 およびそれ以前のバージョン
ワークスモバイルジャパン株式会社が提供する LINE WORKS Driveエクスプローラーには、コードインジェクションの脆弱性が存在し、Driveエクスプローラーがインストールされた端末にログイン可能な攻撃者に、当該製品の実行プロセスに任意のコードを挿入される可能性がある。
Driveエクスプローラーは実行に際しフルディスクアクセス権限を必要とするため、攻撃者自身がアクセス権限を持たない任意のファイルへの読み取りや書き込みが当該製品を介して可能となる。
JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。
