タブファイラー開発ブログ

Tablacus ExplorerやX-Finderの作者のブログ

Tablacus Explorer におけるスクリプトインジェクションの脆弱性

公開日 2017 年 4 月 5 日

■概要

Tablacus Explorerのバージョン 17.3.30 以前にスクリプトインジェクションの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、Tablacus Explorerが動作しているコンピュータ上で任意のスクリプトが実行されてしまう危険性があります。

該当バージョンのTablacus Explorerをお使いの方は、すみやかに17.4.1以降へバージョンアップしてください。
たいへんご迷惑をおかけいたしますが、よろしくお願いいたします。

■該当製品の確認方法

影響を受ける製品は以下の製品です。

製品名称 Tablacus Explorer

該当バージョン 17.3.30 以前の全てのバージョン

使用しているバージョン番号の確認方法は以下の通りです。
1. Tablacus Explorerを起動し、「ヘルプ」メニューから「Tablacus Explorerについて」を選択する。
2. 現れたウィンドウの下記の部分が起動しているTablacs Explorerのバージョン番号です。

f:id:tablacus:20170405200135p:plain

脆弱性の説明

Tablacus Explorerのアドレス バー等のフォルダ名表示に脆弱性があり、FTPサーバー等で細工された不正なフォルダ名を持つフォルダに接続した場合、任意のスクリプトを実行される脆弱性が存在します。

脆弱性がもたらす脅威

攻撃が成功すると、悪意のある第三者によって任意のスクリプトを実行されてしまう可能性があります。
これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、任意に操作する可能性があります。

■対策方法

Tablacus Explorerを起動し、「ヘルプ」メニューから「最新版の確認」を選択し最新版にアップデートして下さい。

■回避

信頼できないFTPサイトにTablacus Explorerでアクセスしない。
メニューバーの「ツール」→「アドオン」から「アドレス バー」アドオンを無効にする

■対応状況

2017/3/31
JPCERT/CCより脆弱性情報の詳細について通知を受ける。

2017/4/1
Tablacus Explorer 17.4.1 リリース。

2017/4/5
脆弱性情報公開

■関連情報

JVN#64451600 TablacusExplorer におけるスクリプトインジェクションの脆弱性

■謝辞

脆弱性発見者及び連絡をして戴いたJPCERT/CCの方々に感謝いたします。

■更新履歴

2017/4/5 この脆弱性情報ページを公開しました。

■連絡先

X-Finder作者へのお問い合わせ