情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
オープンソースソフトウェアの「Tera Term Ver.4.94」及びそれ以前のインストーラに、ユーザの意図に反してDLLを読み込む脆弱性が判明したことを公表、及び当該インストーラ機能の修正を実施したことをTera Term開発団体がWebサイト(https://ja.osdn.net/projects/ttssh2/)にて呼びかけています。
引用元:https://ttssh2.osdn.jp/SA/JVN06770361.html
本件における脆弱性は「CVE-2017-2193」であり、DLLを読み込む際の検索パス(\Desktop\sample等、目的のファイルの場所を示す文字列)機能に欠陥があり、同一ディレクトリにおいて特定のDLLを読み込む脆弱性が存在するとのことです。
この脆弱性を悪用されることで、正規のユーザが当該インストーラを起動する際、第三者に任意のコードを実行され攻撃を受ける可能性があります。
なお、当該脆弱性はインストーラを起動する際に発生するため、既にインストールしたTera Termの利用において影響はないとのことです。
利用者に対し、Tera Termのインストール及びアップデートを実施する際は最新版のインストーラ「Tera Term 4.95」を使用するよう呼びかけています。
また、「Tera Term Ver.4.94」等のTera Termの旧バージョンのインストールにおいては、ZIPアーカイブ版の利用・新規フォルダを作成しインストーラをそこに移動しインストールを実行するよう推進しています。
平成29年第1四半期における脆弱性 TrendMicroの見解
