エムソフト製FTP/SFTPクライアント「EmFTP」に脆弱性、修正版の提供予定なし

“JVN”の脆弱性情報ページ

　脆弱性対策情報ポータルサイト“JVN”は4日、「EmEditor」の開発で知られるエムソフト製のFTP/SFTPクライアントソフト「EmFTP」に脆弱性が存在することを明らかにした。

　「EmFTP」は、左右分割型の2ペインから成るFTPクライアント。サーバー側とローカル側のファイルを見比べながら操作可能で、「EmEditor」との連携も行える。無償の“Standard”版と有償の“Professional”版がラインナップされており、“Professional”版はSFTP転送にも対応する。

　“JVN”によると、「EmFTP」にはファイルの読み込み処理に問題があり、ローカル側の拡張子が付いていないファイルを開く際に、実行ファイルなどの意図しないファイルが読み込まれてしまう脆弱性が存在するという。たとえば、同一のローカルフォルダにテキストファイル“example”と実行ファイル“example.exe”がある場合、“example”を開こうとすると“example.exe”が意図せず実行されてしまう。

　本ソフトはエムソフトのWebサイトから入手可能だが、すでに開発は終了しており、修正版の提供予定はない。利用の際はユーザー側で拡張子のないローカルファイルを「EmFTP」で直接開かないようにするといった回避策をとる必要がある。