ニュース

暗号化ツール「アタッシェケース」に未修正の脆弱性、暗号化ファイルの実行には注意を

「アタッシェケース」で作成した自己実行形式ファイルが意図しないDLLを読み込む恐れ

“JVN”が公開した脆弱性レポート(JVN#61502349)

 脆弱性情報のポータルサイト“JVN”は14日、定番のファイル・フォルダー暗号化ツール「アタッシェケース」で作成された自己実行可能形式の暗号化ファイルに脆弱性が存在することを明らかにした。

 “JVN”が公開した脆弱性レポート(JVN#61502349)によると、「アタッシェケース」で作成された自己実行可能形式の暗号化ファイルには、DLLを読み込む際の検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性があるという。最悪の場合、任意のコードを実行される恐れがある。脆弱性の深刻度は“CVSS v3”の基本値で“7.8”、“CVSS v2”の基本値で“6.8”。

 本脆弱性の影響を受けるのは、「アタッシェケース」v2.8.3.0およびそれ以前、v3.2.2.6およびそれ以前で作成された暗号化ファイル。執筆時現在、「アタッシェケース」側での対策は提供されておらず、運用時に注意するしかない。具体的には、暗号化ファイルを実行する際、同じフォルダーに信頼できないファイルがないか確認したり、管理者権限を持たない標準ユーザアカウントで操作することを原則とし、必要な時のみ管理者アカウントで操作するなどといった回避策をとることが推奨されている。