ディレクトリトラバーサルの脆弱性への対処が行われたアタッシェケース 3.3.0.0
世界標準の暗号アルゴリズムを採用した強力な
ファイル/フォルダ暗号化ソフトアタッシェケースの
最新バージョン 3.3.0.0 が公開されました。
現在公式サイトからダウンロードできます。
バージョン 3.3.0.0 では、ディレクトリトラバーサルの
脆弱性への対処がなされています。
ディレクトリトラバーサルの脆弱性はバージョン3.2.3.0
以前で発生します。
最新バージョンの3.3.0.0では修正がなされています。
旧バージョンを使用している場合は、アップデート
してください。
ディレクトリトラバーサルの脆弱性について
以下、公式サイトから引用
※今回の脆弱性は、2017/01/16に報告された脆弱性を
さらに派生させたものになっています。
【再現手順】
アタッシェケースでは、ATCファイルという独自の
フォーマットを用いており、それに直接細工を施します。
オープンソースである「アタッシェケース」の
暗号化処理の部分を改ざんし、ビルドしたものから
暗号化ファイルに格納されるファイルリストに不正な
文字列を挿入したデータを作成します。
展開ファイル名に "..\" や "../" を複数、または
空白を混ぜたもの、存在しないドライブ名、
"\\localhost" などを 含むファイルリストを作成し、
アタッシェケースでATCファイルを展開したところ、
ユーザーの意図しない場所に 暗号化ファイルが
展開されました。
ただし、これは悪意ある第三者がそうした脆弱性を
仕込むアプリケーションを 開発し、当該ファイルを
生成しないといけないため、危険度はやや低めとは
思われます。
【発生バージョン】
ver.3.2.3.0 以前で発生。
ver.2.8.4.0 以前で発生。
【回避・対応策】
ユーザーはすみやかに最新版へアップデート
してください。
こちらの具体的な修正としては、「復号処理」部分。
不正な文字がパスに入ってきたら、
この処理を中止するように修正。
★アタッシェケースは世界標準の暗号アルゴリズム
を採用した強力なファイル/フォルダ暗号化ソフト
です。
アタッシェケース--オールフリーソフト
アタッシェケース#3 - 脆弱性情報
ツイート@allfreesoftをフォロー
スポンサーリンク
ラベル:アタッシェケース
【関連する記事】
- 日本語に対応したESET Online Scanner 3.4.7.0
- Password Checkupが2020年8月31日でサービス終了
- 3つの音声が追加されたIMAIME 1.30
- .Net Framework4.8と.NET Coreに対応したASoft .N..
- Capture .NETのフリー版が終了
- CursorFXが有料になりました。
- はがきデザインキットが2020年1月31日でサービスを終了
- RansomBusterがTrend Micro Maximum Securit..
- Acronis Ransomware Protection(無償)のサポートが終..
- オプションが追加されたReduce Memory 1.3