VLCやOpenOfficeなどにワンクリックコード実行の脆弱性 アプリ開発におけるURI処理に課題

人気の高いソフトウェアにワンクリックコード実行の脆弱性が見つかった。ソフトウェア側の実装に問題があるため、今回発見されたソフトウェア以外にもリスクがある可能性があるという。

[後藤大地，有限会社オングス]

　最近のアプリケーションはパスの指定にURI（Uniform Resource Identifier）を受け取れるものが多い。

　ローカルのファイルパスのみならず、直接インターネット上のパスを指定できるため、URIは何かと便利に使えるのだ。こうした機能はアプリケーションが処理するというよりも、OSやOSディストリビューションが提供するライブラリに処理が委ねられることが多い。そして、それこそが脆弱（ぜいじゃく）性の原因になっているという。

　セキュリティ企業のPositive Securityは2021年4月15日（現地時間）、複数のソフトウェア（「VLC」「OpenOffice」「LibreOffice」など）にURIを利用したワンクリックコード実行の脆弱性が存在すると伝えた。この脆弱性は今後他のアプリケーションからも発見される可能性が高いと指摘されている。

脆弱性を報告するPositive SecurityのWebページ（出典：Positive Security）

ワンクリックコード実行の脆弱性、その仕組みと問題の本質