Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ファイル暗号化ソフト「アタッシェケース」にアップデート - 脆弱性を解消

HiBARA Softwareは、ファイル暗号化ソフト「アタッシェケース」に明らかとなった脆弱性に対処したアップデートをリリースした。旧版で作成した自己解凍書庫形式のファイルにも脆弱性が存在しており、再作成が必要となる。

同製品のWindows版において、検索パスに問題があり、細工されたライブラリファイルを読み込んでコードを実行されるおそれがある脆弱性が判明したもの。

「同4.0.2.7」および以前のバージョンでは「CVE-2022-25348」、「同3.6.1.0」では「CVE-2022-28128」が採番されている。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「7.8」。

これら脆弱性は、三井物産セキュアディレクションの塚本泰三氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。脆弱性を修正した「同4.1.0.0」がリリースされた。

また「同3.2.2.6」「同2.8.3.0」および以前のバージョンで作成した自己解凍書庫形式の実行ファイルには、意図しないライブラリファイルを読み込み、コードを実行される脆弱性「CVE-2017-2272」「CVE-2017-2271」が存在する。

開発者は今回リリースした「同4.1.0.0」で同問題へ対処した。脆弱性の影響を受ける旧バージョンで作成された自己解凍書庫ファイル形式の暗号化ファイルについては引き続き脆弱性が存在するため、最新版で作成し直す必要がある。

(Security NEXT - 2022/03/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

日経新聞の海外現地法人がランサム被害 - 原因や影響を調査中
東映アニメの障害、原因はランサム - ソフトダウンロード契機に攻撃展開
会員向けメッセージに送信先リストを誤添付 - 医師向け会員サイト
Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘
米政府、「CVE-2022-26925」を緊急対応リストから一時削除 - DCへの影響で
Apple、「iOS 15.5」「iPadOS 15.5」をリリース - 脆弱性34件を修正
米政府、VMwareのID管理製品脆弱性で緊急指令 - 侵害確認とパッチ適用求める
F5製「BIG-IP」脆弱性、悪用容易 - 侵害有無の確認を
セキュリティ会議「CODE BLUE」、講演者の募集を開始 - 事前参加登録も
ほくせんカードの会員サイトにSQLi攻撃 - 顧客情報4.4万件が流出の可能性