「Evernote for Windows」に脆弱性 ～認証トークンがHTTPでやり取りされる欠陥など

同社の製品セキュリティ最新情報

　米Evernoteは10月25日（日本時間）、「Evernote for Windows」に存在する複数の脆弱性を修正したことを発表した。今回明らかにされた脆弱性は、以下の4件。

• WINNOTE-19568、WINNOTE-19620：添付ファイルのファイル名をレンダリングする際のストアド型クロスサイトスクリプティング（XSS）問題。「Evernote for Windows」v6.16 beta 1で修正
• WINNOTE-19377：“Evernote”サービスへの接続をすべてHTTPS化することでセキュリティを改善。「Evernote for Windows」v6.15 beta 1で実施
• WINNOTE-19299：v6.4からv6.7で特定の“Evernote”サービスと通信する際、認証トークンがHTTP接続でやり取りされていた。ノートの内容、ユーザー名およびパスワードには影響しない。「Evernote for Windows」v6.7.6（ホットフィックス）およびv6.8.6（最初の一般公開）で修正

　「Evernote for Windows」は、“Evernote”のWindows デスクトップ向けクライアントソフト。現在、同社のWebサイトや“Microsoft ストア”からv6.15.4.7934を無償でダウンロードできる。“WINNOTE-19568”と“WINNOTE-19620”は未修正なので、v6.16の正式版がリリースされたらできるだけ早めに適用したい。