ファイル暗号化ツール「アタッシェケース」に脆弱性、修正版が公開

「アタッシェケース#3」v3.2.1.0

　ファイル・フォルダーの暗号化ツール「アタッシェケース#3」の最新版v3.2.1.0が、12日に公開された。本バージョンでは、ディレクトリトラバーサルの脆弱性が修正されている。

　ディレクトリトラバーサル（directory traversal）とは、ファイルのパスを検証する処理に不備があり、本来アクセスできないはずのフォルダー（親フォルダーなど）へアクセスできてしまう不具合を突いた攻撃を言う。「アタッシェケース」の場合、悪意ある攻撃者が改変した暗号化ファイルを復号すると、意図しないディレクトリにファイルが展開されてしまう脆弱性があるという。

　「アタッシェケース#3」はWindows XP/Vista/7/8/10に対応するフリーソフトで、現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。なお、動作には.NET Framework 4以降が必要。

　なお、本脆弱性は「アタッシェケース#3」のv3.2.0.4以前に影響するほか、旧バージョンの「アタッシェケース」v2.8.2.8以前にも影響するとのこと。旧バージョンを利用しているユーザーは、作者サイトで公開されているv2.8.3.0へのアップデートが必要だ。