Tablacus Explorer におけるスクリプトインジェクションの脆弱性
公開日 2017 年 4 月 5 日
■概要
Tablacus Explorerのバージョン 17.3.30 以前にスクリプトインジェクションの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、Tablacus Explorerが動作しているコンピュータ上で任意のスクリプトが実行されてしまう危険性があります。
該当バージョンのTablacus Explorerをお使いの方は、すみやかに17.4.1以降へバージョンアップしてください。
たいへんご迷惑をおかけいたしますが、よろしくお願いいたします。
■該当製品の確認方法
影響を受ける製品は以下の製品です。
製品名称 Tablacus Explorer
該当バージョン 17.3.30 以前の全てのバージョン
使用しているバージョン番号の確認方法は以下の通りです。
1. Tablacus Explorerを起動し、「ヘルプ」メニューから「Tablacus Explorerについて」を選択する。
2. 現れたウィンドウの下記の部分が起動しているTablacs Explorerのバージョン番号です。
■脆弱性の説明
Tablacus Explorerのアドレス バー等のフォルダ名表示に脆弱性があり、FTPサーバー等で細工された不正なフォルダ名を持つフォルダに接続した場合、任意のスクリプトを実行される脆弱性が存在します。
■脆弱性がもたらす脅威
攻撃が成功すると、悪意のある第三者によって任意のスクリプトを実行されてしまう可能性があります。
これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、任意に操作する可能性があります。
■対策方法
Tablacus Explorerを起動し、「ヘルプ」メニューから「最新版の確認」を選択し最新版にアップデートして下さい。
■回避策
信頼できないFTPサイトにTablacus Explorerでアクセスしない。
メニューバーの「ツール」→「アドオン」から「アドレス バー」アドオンを無効にする
■対応状況
2017/3/31
JPCERT/CCより脆弱性情報の詳細について通知を受ける。
2017/4/1
Tablacus Explorer 17.4.1 リリース。
2017/4/5
脆弱性情報公開
■関連情報
JVN#64451600 TablacusExplorer におけるスクリプトインジェクションの脆弱性
■謝辞
脆弱性発見者及び連絡をして戴いたJPCERT/CCの方々に感謝いたします。
■更新履歴
2017/4/5 この脆弱性情報ページを公開しました。
■連絡先
Norton AntiVirusを使っているとTablacus Explorerの更新で重い問題の対策方法
最近、Norton AntiVirusを使っているとTablacus Explorerのヘルプ→最新版の確認→アップデートのインストールで引っかかる感じになってしまうようです。
いろいろと試してみたところ、Tablacus Explorerがzipから展開する際にWindows標準のZIP展開機能を使っているのがNorton AntiVirusのヒューリスティック検知で誤検知されているようです。
本来はユーザーの方の通報でSymantec社に直してもらうべき話ですが、対策方法を見つけたので、とりあえず直るまで以下の方法を試してみてください。
Tablacus ExplorerがZIPを展開するところで引っかかっているので、そこを外部ツールの7-zipかlhazで代行させます。
まず、ツール(T)→アドオン(A)でアドオンの一覧を表示し、「解凍」の「オプション」をクリックします。
Get 7-zip...かGet lhaz..をクリックしてどちらかのホームページから実行ファイルをインストールします。
インストールした方の展開ソフトのボタンをクリックしてください。
確認ダイアログが表示されるので「OK」をクリックします。
自動的に設定が入力されるので「OK」をクリックします。
「解凍」の「有効化」ボタンをクリックします。
「OK」をクリックすれば完了です。
アドオンの切り替え(Add-on switcher) アドオン - Tablacus Explorer
アドオンの切り替え(Add-on switcher)はボタンやメニューでアドオンの有効・無効を切り替えるアドオンです。
アドオンの切り替えをインストールするとタイプに「Addon switcher」が追加されます。
オプションの参照を押すとアドオンの一覧が表示されます。
表示されたら切り替えるアドオンを選びます。
選択するとオプションにアドオンのコードが入力されます。
いつものように「追加」や「置換」を押して「OK」を押せば「上へ」のアドオンの切り替えボタンができます。
アドオンを無効化させる場合は、アドオンのコードの後ろに「,0」を入れます。
複数のアドオンを同時に変更することもできます。
「戻る」と「進む」を無効にする設定は以下のようになります。
アドオンを無効化させる場合は、アドオンのコードの後ろに「,1」を入れます。
「戻る」と「進む」を有効にする設定は以下のようになります。
あるアドオンを無効にして、別のアドオンを有効にする設定ももちろん可能です。
Windows 10 Insider Preview入れてみました。
TwitterでWindows 10 Insider Previewで以下のような不具合報告があったのでWindows 10 Insider Preview入れてみました。
Tablacus Explorer(16.12.31) での表示不具合っぽいもの
— paihu (@paihu) 2017年1月7日
Windows10 Insider Preview Build 14986
少し前のInsider Previewで発生した
詳細表示にすると何も表示されない(キーボードでスクロールすると見える) pic.twitter.com/2dnCZLBFqK
試行錯誤してみたところ、表示を一時的に詳細表示以外にして詳細表示にするとちゃんとした位置に表示できるようになったのでTablacus Explorer 17.1.11で調整しています。
ただ、このInsider Previewは他にもアドオンの交互縞(ストライプ)と相性が悪く、リネーム後や更新でカラムヘッダが消えます。
ということでフィードバックHubに報告していますが、こういうのは人数が多い方が良いのでInsider Previewを入れていて不具合が出ている方は「そのコメントに一票」をお願いします。
フィードバックHubのフィードバックで並べ替えを最新にして、区分をファイル、フォルダー、オンライン ストレージにすると探しやすいと思います。
そして、昨日、Windows 10 Insider Preview 15002がインストールされました。
直ってたら良いなと思っていたのですが、まだ報告してなかったので直ってないです。
タブの切り替えで固まったり、開発ソフトのMicrosof Visual C++ 2008が検索するだけで落ちまくったりめちゃくちゃ不安定になりました。
リリース版までにはまともになってほしい。
ペイン毎のバー、インナー バー(Inner bar) - Tablacus Explorer
インナー バーはペイン毎に表示されるバーです。
「Inner 上へアドオン」
左右分割なので右にも左にも「上へ」ボタンが表示されています。
アドレス バーもInner パンくずリストアドレスバーなので左右に表示されています。
インナー バーに表示されるアドオンの一つは「Inner 上へ」の様に前に「Inner」が付いたアドオンです。
もう一つの方法はアドオンの「位置」で「Inner bar」にチェックする方法です。
「プロパティ」のアドオン
こんな感じ
ただ、すべてのアドオンが「Inner bar」を指定できるわけではありません。
「上へ」アドオンの「位置」では「Inner bar」はグレーで選択できません。
最近できたアドオンが「Inner bar」が選択できるようになっています。
また、アドオンの表示順序はアドオンの順序になります。
無線LANで接続したアンドロイドのフォルダをネットワークドライブにする
今回はアンドロイドのフォルダをネットワークドライブにするを書いてみます。
WebDAVはもともとマイクロソフトで開発された技術なのでWindowsでも使うことができます。
しかし、アンドロイドのWebDAVはSSLで接続されているのではないため、レジストリを変更してWindowsの設定を変更する必要があります。
この方法はレジストリを変更する必要がありますが、ネットワークドライブが割り振られるため、あふwやNyanFi、だいなファイラーといったそのままではMTP接続できないファイラーでも使えます。
※ Tablacus Shell Susie Plug-in (axshell) を使えば読み込みと閲覧はできましたが、削除や追加などの処理はできませんでした。
まず、Windowsのレジストリを変更して、httpのWebDAVを使えるようにしましょう。
レジストリエディタを以下の場所を開きます。レジストリの変更は慎重に行ってください。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters
BasicAuthLevelの設定を 2 に変更します。
変更できたら、Windowsを再起動します。
アンドロイドにWebDAVサーバーをインストールして実行します。これは前回のTotal Commanderのプラグインを使った場合と全く同じです。
アンドロイドのプレイストアで「webdav server」で検索してWebDAV Serverをインストールします。
WebDAV Serverを実行します。
真ん中のボタンを押してWebDAVサーバーを開始します。
サーバーを開始したら表示されるURLアドレスをメモします。
この場合は「http://192.168.0.106:8080」です。
では、このWebDAVをネットワークドライブ「W:」に割り振ってみましょう。
Tablacus Explorerで「F10」を押してファイル名を実行して実行を実行します。
net use W: http://192.168.0.106:8080/
net use コマンドでドライブ名とさっきメモしたURLアドレスを入力して「OK」をクリックします。
ネットワークドライブが割り振られたら完了です。
ネットワークドライブを削除するには
net use W: /delete
を実行します。
あふw
NyanFi
だいなファイラー