NEWS(11/10/31 15:47)

IPA、「FFFTP」に意図しない実行ファイルを読み込む脆弱性が存在することを公表

最新版のv1.98bで修正済み

 IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人
JPCERTコーディネーションセンター(JPCERT/CC)は28日、「FFFTP」に脆弱性が存在することを公表した。

 「FFFTP」には、ローカルPC上にあるファイルを「メモ帳(notepad.exe)」で開く機能が搭載されているが、“notepad.exe”を実行する際の検索パスに問題があり、本機能を利用する際にWindows標準の「メモ帳」ではない実行ファイルを実行してしまう恐れがあるという。

 本脆弱性が存在するのはv1.98aおよびそれ以前のバージョンで、“SourceForge.JP”で公開されている最新版v1.98bですでに修正されている。開発元のFFFTP Projectでは、「FFFTP」を最新版へ更新するよう推奨しており、アップデートが不可能な場合は“notepadで開く”機能を利用しないよう呼びかけている。

(柳 英俊)