「アタッシェケース」v3系に2017年から存在する自己実行型暗号化ファイルの脆弱性が修正

「JVN」が公開した脆弱性レポート（JVN#10140834）

　脆弱性情報のポータルサイト「JVN」は3月30日、定番のファイル・フォルダー暗号化ツール「アタッシェケース」に脆弱性があることを明らかにした。DLLを読み込む際の検索パスに問題があり、起動時に意図しないDLLを読み込んでしまうことがあるという。最悪の場合、実行ファイルを実行している権限で任意のコードを実行される可能性がある。

　本脆弱性の影響を受けるバージョンは以下の通り。それぞれ異なるCVE番号が割り当てられている。

• 「アタッシェケース」v3.6.1.0 およびそれ以前：CVE-2022-28128
• 「アタッシェケース」v4.0.2.7 およびそれ以前：CVE-2022-25348

　深刻度の評価は「CVSS v3」の基本値で「7.8」、「CVSS v2」の基本値で「6.8」。

　作者によると、この問題は最新版で解決されているとのこと（カッコ内は公開日）。

• 「アタッシェケース」v4.1.0.0（22/03/30）
• 「アタッシェケース」v3.7.0.0（22/03/30）

　v3.7.0.0では、2017年7月に案内されていた自己実行可能形式暗号化ファイルの脆弱性（CVE-2017-2272）も解決されている。当時は具体的な対処方法がなく、注意喚起にとどまっていたが、今回のアップデートでこの脆弱性にも対応できたという。

「アタッシェケース」v4.1.0.0

　「アタッシェケース」は、Windows/Mac対応のファイル暗号化ツール。日常的な利用を想定して開発されており、わずか3ステップでファイルやフォルダーを暗号化できる手軽さが魅力。「アタッシェケース」を持たないユーザーのために自己実行可能形式での出力も可能だ。

　なお、個人・家庭・教育などでの利用は無償だが、商用の際はライセンスの購入（1ユーザー当たり税込み550円）が必要となるので注意したい。