「Tera Term」のインストーラーに意図しないDLLを読み込む脆弱性、修正版が公開

「Tera Term」v4.95

　TeraTerm Projectは5月31日、ターミナルエミュレーター「Tera Term」の最新版v4.95を公開した。今回のアップデートでは、インストーラーが意図しないDLLを読み込んでしまう恐れのある脆弱性が修正されている。

　脆弱性ポータルサイト“JVN”が公開した脆弱性レポート（JVN#06770361）によると、「Tera Term」v4.94およびそれ以前のバージョンのインストーラーにはパスを検索する処理に問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう恐れがあるという。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性がある。脆弱性の深刻度は“CVSS v3”で基本値“7.8（危険）”、“CVSS v2”で基本値“6.8（警告）”と判定されている。

　そのほかにも本バージョンでは、リモートからのクリップボードアクセスを通知する機能などが新たに追加された。また、「TTSSH」や「Oniguruma」といったライブラリのアップデートや不具合の修正なども施されている。

　なお、Windows 95/98/Me/NT 4.0ではインストーラーがサポートされなくなったので注意。これらのバージョンで「Tera Term」を使用したい場合は、ZIP版を利用する必要がある。