ニュース

Windows デスクトップ向け「ChatWork」アプリのインストーラーに脆弱性

DLLを読み込む際の検索パスに問題があり、偽のDLLを読み込んでしまう恐れ

“JVN”が公開した脆弱性レポート(JVN#39171169)

 脆弱性ポータルサイト“JVN”は7月23日、Windows デスクトップ向け「ChatWork」アプリのインストーラーに脆弱性が存在することを明らかにした。DLLを読み込む際の検索パスに問題があり、同一フォルダーに存在する偽のDLLを読み込んでしまう恐れがあるという。

 “JVN”が公開した脆弱性レポート(JVN#39171169)によると、本脆弱性は「ChatWork」v2.3.0およびそれ以前のバージョンに影響する。最悪の場合、インストーラーの実行権限で任意のコードを実行される可能性がある。脆弱性の深刻度は“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”。この種の脆弱性を悪用する攻撃を避けるには、古いインストーラーを使いまわさず常に最新版のインストーラーを利用すること、インストーラーを実行する際は同じフォルダーに不審なファイルがないことを確認することが肝要だ。

 なお、本脆弱性の影響を受けるのはインストーラーの起動時のみ。すでに導入済みの環境で問題がなければ、対処の必要はない。