Windows/Mac版「BOOK☆WALKER」アプリに複数の脆弱性、対策を施した最新版が公開

“BOOK☆WALKER”のアナウンス

　（株）ブックウォーカーは13日、電子書籍ビューワー「BOOK☆WALKER for Windows」および「BOOK☆WALKER for Mac」の旧バージョンに複数の脆弱性が存在することを明らかにした。最新版へのアップデートが推奨されている。

　JVNの脆弱性レポート（JVN#18420340）によると、「BOOK☆WALKER for Windows」v1.2.9およびそれ以前のバージョンには、インストーラーが同一フォルダーにあるDLLを意図せず読み込んでしまう脆弱性（CVE-2017-10887）と、細工されたファイルを読み込みと情報が漏洩してしまう脆弱性（CVE-2017-10888）が存在するという。後者の脆弱性は「BOOK☆WALKER for Mac」v1.2.5およびそれ以前のバージョンにも影響する。

　“CVE-2017-10887”の深刻度は、“CVSS v3”の基本値で“7.8（危険）”、“CVSS v2”の基本値で“6.8（警告）”。公式サイトから最新版のインストーラーをダウンロードして利用すれば問題はない。

　一方、“CVE-2017-10888”の深刻度は、“CVSS v3”の基本値で“5.5（警告）”、“CVSS v2”の基本値で“7.1（危険）”と評価されている。“BOOK☆WALKER”で配信されている書籍データには攻撃を行うものは含まれていないとのことだが、念のため最新版への更新をお勧めする。