ニュース

「WinShot」「JTrim」のインストーラーにDLL読み込みに関する脆弱性 ~ZIP版の利用を

インストーラーを実行している権限で任意のコードを実行される可能性

「WinShot」
「JTrim」

 脆弱性ポータルサイト“JVN”は5日、「WinShot」および「JTrim」のインストーラーに脆弱性が存在することを明らかにした。DLLを読み込む際の検索パスに問題があり、インストーラーと同じフォルダーに存在する特定のDLLを誤って読み込んでしまう恐れがあるという。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性がある。脆弱性の深刻度はいずれも“CVSS v3”の基本値で“7.8”、“CVSS v2”の基本値で“6.8”。

 「WinShot」は、デスクトップをキャプチャーするツール。「JTrim」は初心者向けに設計された多機能なフォトレタッチソフトで、いずれもWoodyBells氏が開発した定番ツールだ。

 「WinShot」および「JTrim」にはインストーラー版とZIP版が存在したが、今回明らかにされた脆弱性はインストーラー版のセットアップ時のみに影響する。ZIP版を利用している場合や、セットアップ済みのインストーラー版を利用する分には問題はない。

 なお、今回脆弱性が見つかったインストーラー版の配布はすでに終了している。古いインストーラー版を保存している場合は、それを削除して最新のZIP版を利用するようにしたい。