公開日: 2014/09/25  最終更新日: 2014/09/25

株式会社エスリンクからの情報

脆弱性識別番号:JVN#16485017
脆弱性タイトル:エスリンク製 Android アプリ「ファイルマネージャー」におけるディレクトリトラバーサルの脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊社で開発しておりますファイルマネージャアプリ(以下本アプリ)の1.2.5以下のバージョンにおいて、
zipファイルの解凍処理に起因する脆弱性 (ディレクトリトラバーサル)があることが判明いたしました。

悪意を持ったzipファイルを解凍した場合に、本アプリで設定したパスワードが変更されてしまい、
ダミー拡張子の削除や暗号化ファイルの復号化が出来ない状態に陥る可能性がございます。

■該当製品の確認方法
影響を受ける製品は以下の製品です。
 製品名称 ファイルマネージャ
 該当バージョン 1.2.5以前の全てのバージョン

なお、使用しているバージョン番号の確認方法は以下の通りです。
(1)ファイルマネージャアプリを起動する。
(2)メニューから「設定」を選択する。
(3)設定画面上から、「アプリケーション情報」を選択する。

ここで「バージョン」として記載されている○.○.○の数値が、バージョン情報です。

■脆弱性の説明
ファイルマネージャアプリは、zip解凍機能を有しておりますが、この機能に
ディレクトリトラバーサルの脆弱性が存在します。

■脆弱性がもたらす脅威
悪意を持ったzipファイルを解凍した場合に、解凍したディレクトリとは異なるディレクトリに
展開される可能性があります。
展開されるのはファイルマネージャ自体が書き込み権限を持つディレクトリに限定されますが、
ファイルマネージャアプリ自身の設定ファイル等に上書きをされてしまう可能性があり、
そうなった場合にはダミー拡張子の削除や暗号化ファイルの復号化が出来なくなる等、
ファイルマネージャアプリが正常に動作しない状態になる可能性があります。

■対策方法
ファイルマネージャ バージョン1.2.5以前の製品を利用されているお客様は、Google Playストアから
最新版への更新をして頂きますようお願いいたします。