Windows版「LINE」アプリにリンクを介して任意のコードが実行可能になる脆弱性

「LINE」v5.8.0

　脆弱性対策情報ポータルサイト“JVN”は12日、コミュニケーションツール「LINE（ライン）」のWindows版に脆弱性（CVE-2018-0609）が存在することを明らかにした。アプリの起動時にDLLを読み込むパスを指定できる欠陥があり、細工されたリンクから「LINE」を起動すると意図しないDLLが誤って読み込まれてしまう恐れがあるという。

　“JVN”の脆弱性レポート（JVN#92265618）によると、本脆弱性の影響を受けるのはWindows版「LINE」v5.8.0未満のバージョン。最悪の場合、プログラムを実行している権限で任意のコードを実行されてしまう可能性があり、脆弱性の評価は“CVSS v3”で基本値が“7.8”、“CVSS v2”で基本値が“6.8”とされている。なお、Windows 10（ストアアプリ）版は影響を受けないようだ。

　開発元によると、先月31日に修正版（v5.8.0）をリリースし、すべてのユーザーを対象にした自動アップデートを実施したとのこと。念のため、利用中の「LINE」アプリがv5.8.0以降になっていることを確認したい。また、これから「LINE」アプリを利用する場合は、公式サイトから入手した最新版のインストーラーを利用することが推奨されている。