Tera Term、インストーラーに脆弱性が見つかる – 修正版は既にリリース済み

2017年6月2日にWindws向けターミナルソフトウェア「Tera Term」のインストーラーに意図しないDLL(ライブラリファイル)を読み込む脆弱性が含まれていることが明らかとなりました。
Tera Termの脆弱性
橘総合研究所の英利雅美氏が情報処理推進機構(IPA)へ報告した内容に、Windows向けターミナルソフトウェア「Tera Term」に脆弱性が含まれていることが報告されました。
報告された内容は、「Tera Term」のインストーラーに意図しないDLL(ライブラリファイル)が読み込まれるようだ。
これにより、インストーラーを実行している権限で、意図しないコードが実行される可能性も浮上している。
報告された「Tera Term」のバージョンは、「v4.94」およびそれ移行のバージョンのインストーラーが対象となる。
今回の脆弱性の深刻度は、以下の通りとなっている。
- CVSS v3/基本値/7.8(危険)
- CVSS v2/基本値/6.8(警告)
なお、報告された脆弱性は、「CVE-2017-2193」として扱われているようです。
影響が受けない範囲
今回の脆弱性は、あくまでも「Tera Term」のインストーラーから報告されております。
その為、すでに該当する「Tera Term」のバージョンをインストールしているユーザーは、影響を受けない。
また、「Windows 95」や「Windows 98」、「Windows Me」、「Windows NT 4.0」などのインストーラーのサポート対象外となっているOSについては、別の意味で注意が必要となります。
(これらのバージョンは、ZIP形式により利用する必要があるため)
いずれにせよ、公開された「Ver4.95」には、今回報告された脆弱性以外のも細かい修正が施されているため、アップデートが推奨されます。
最新バージョン Ver4.95
今回の脆弱性を受けて、新たに公開された「Ver4.95」には、インストーラーの脆弱性以外にもバグ修正が施されている。
同バージョンでは、新たに「TTSSH」や「Oniguruma」などのライブラリー関連もバージョンアップされ、バグ修正が行われている。
また、新機能としてリモートからホストのクリップボードへのアクセスを通知する機能が追加されております。
さらに画面最大化時のスクロール形式に、新しい方式が追加されたようです。
他にもコマンドライン・オプションの変更や、ポート指定によるバグ修正が行われております。
同バージョンについて、詳しく知りたい方は、下記のページをご覧ください。
お気軽にお書きください