「Evernote for Windows」に任意コードの実行につながる可能性のある脆弱性（4月19日追記）

「Evernote for Windows」に脆弱性

　米Evernoteは4月16日（日本時間）、「Evernote for Windows」に存在するプロトコルハンドラーの脆弱性を修正したと発表した。今年2月末にリリースされた「Evernote for Windows 6.18 Beta 2」で修正されているという。

　プロトコルハンドラーとは、たとえば“foo://bar”というURLをクリックした場合に、“foo”というプロトコル（スキーマ）に紐づけられたアプリを起動するための仕組み。一般的な環境の場合、“http”や“https”の場合はWebブラウザー、“mailto”の場合はメールソフトが起動するが、これを実現しているのがプロトコルハンドラーだ。

　同社によると、「Evernote for Windows」にはこの仕組みに欠陥があり、Windows 7/10およびWindows Server 2008環境にインストールされた「Evernote」クライアントで特別に細工されたURLをクリックすると、任意のコマンドが実行される可能性があるという。

　「Evernote for Windows」は、“Evernote”のWindows デスクトップ向けクライアントソフト。現在、同社のWebサイトや“Microsoft ストア”からv6.17.6.8292を無償でダウンロードできる。今回発表された脆弱性はこのバージョンではまだ修正されていないので、v6.18の正式版がリリースされたらできるだけ早めに適用するよう心掛けたい。

4月19日編集部追記： 同脆弱性は最新正式版のv6.17.7で修正されたことが発表されている。