定番のTwitterクライアント「Tween」v1.6.7.0 ～インストーラーの脆弱性を修正

「Tween」v1.6.7.0 のインストーラー

　Twitterクライアント「Tween」の最新版v1.6.7.0が、23日に公開された。今回のアップデートでは、インストーラーに存在した脆弱性への対策が行われている。

　脆弱性情報のポータルサイト“JVN”が公開したレポート（JVN#17523256）によると、「Tween」のインストーラーにはDLLを読み込む際の検索パスに関する処理に不備があり、意図しないDLLを読み込んでしまう恐れがある。この問題を回避するには、インストールが不要なZIP版を利用するか、最新版のインストーラーを利用する必要がある。

　「Tween」のインストーラーは、インストール処理そのものを行う“TweenSetup.msi”と、その実行の前に「Tween」の動作に必要なランタイムの有無をチェックする“setup.exe”の2つで構成されているが、作者によると問題があるのは後者の“setup.exe”であるという。そのため、本バージョンでは“setup.exe”を省いて“TweenSetup.msi”のみを配布している。

　この変更により、ランタイムのチェックはユーザー側で行わなければならなくなっているので注意。もっとも、最近のOSには「.NET Framework 4」などのランタイムがあらかじめ含まれているため、大きな問題にはならないだろう。

　「Tween」は64bit版を含むWindows XP/Vista/7/8/8.1/10に対応するフリーソフトで、現在、本ソフトの公式サイトや窓の杜ライブラリからダウンロード可能。なお、本バージョンに含まれる変更はインストーラーの変更のみとなっている。そのため、既存ユーザーはアップデートしなくてよい。また、自動更新の対象にもなっていないとのこと。