ニュース

「アタッシェケース」v3系に2017年から存在する自己実行型暗号化ファイルの脆弱性が修正

最新のv4系にも脆弱性、修正したv4.1.0.0が公開

「JVN」が公開した脆弱性レポート(JVN#10140834)

 脆弱性情報のポータルサイト「JVN」は3月30日、定番のファイル・フォルダー暗号化ツール「アタッシェケース」に脆弱性があることを明らかにした。DLLを読み込む際の検索パスに問題があり、起動時に意図しないDLLを読み込んでしまうことがあるという。最悪の場合、実行ファイルを実行している権限で任意のコードを実行される可能性がある。

 本脆弱性の影響を受けるバージョンは以下の通り。それぞれ異なるCVE番号が割り当てられている。

  • 「アタッシェケース」v3.6.1.0 およびそれ以前:CVE-2022-28128
  • 「アタッシェケース」v4.0.2.7 およびそれ以前:CVE-2022-25348

 深刻度の評価は「CVSS v3」の基本値で「7.8」、「CVSS v2」の基本値で「6.8」。

 作者によると、この問題は最新版で解決されているとのこと(カッコ内は公開日)。

  • 「アタッシェケース」v4.1.0.0(22/03/30)
  • 「アタッシェケース」v3.7.0.0(22/03/30)

 v3.7.0.0では、2017年7月に案内されていた自己実行可能形式暗号化ファイルの脆弱性(CVE-2017-2272)も解決されている。当時は具体的な対処方法がなく、注意喚起にとどまっていたが、今回のアップデートでこの脆弱性にも対応できたという。

「アタッシェケース」v4.1.0.0

 「アタッシェケース」は、Windows/Mac対応のファイル暗号化ツール。日常的な利用を想定して開発されており、わずか3ステップでファイルやフォルダーを暗号化できる手軽さが魅力。「アタッシェケース」を持たないユーザーのために自己実行可能形式での出力も可能だ。

 なお、個人・家庭・教育などでの利用は無償だが、商用の際はライセンスの購入(1ユーザー当たり税込み550円)が必要となるので注意したい。