【脆弱性情報】LINE PC版(Windows) における安全にアップデートを行えない問題に関するお知らせ
2016.08.19
【概要】
LINE PC版(Windows) の自動アップデート機能に不具合があり、信用出来ないネットワーク(※1)を使ってLINE PC版(Windows) を利用した場合、
自動アップデート機能を通して不正なファイルをインストールされる恐れがありました。この問題はバージョン 4.8.3 で修正されました。
※1 悪意を持って設置されたWiFiアクセスポイントなど
[8/25追記]
本記事の公開時(8/19)、影響を受けるバージョンを 4.8.1.1112以下、修正バージョンを4.8.2以降と記載しておりましたが、修正不備があったため再度修正を行いました。修正バージョンは 4.8.3以降となります。
【利用者の皆様へのお願い】
LINE PC版(Windows) バージョンが 4.8.2.1125 またはそれ以下である場合、自動アップデート機能を使わずに最新版のアプリを下記URLよりダウンロード、再インストールすることを推奨します。
これは、自動で対策済みの最新バージョンへとアップデートを行う機能自体が、環境によっては安全に行えない問題があるためです。
なお、バージョンは[設定]>[LINE情報]から確認することができます。
- バージョンが 4.8.3 以降である場合 既に、現時点での最新版がインストールされています
- バージョンが 4.8.2.1125 またはそれ以下である場合 上記リンクから新規にインストールを行ってください
- LINEを起動していない場合、上記リンクから新規にインストールを行ってください
Microsoft ストアからインストールされたWindows 8/10版のLINEは今回の問題の影響を受けません(※2)
※2 Windows8/10、Windows Phone/Tablet 用に最適化されたLINE(2016年8月19日時点での最新版は5.3.0) https://www.microsoft.com/ja-jp/store/p/line/9wzdncrfj2g6
尚、Windows8/10のPCやデバイスをお使いの方で、LINE PC版(Windows) の 4.8.3未満のバージョンを利用している場合は影響を受けます。
【影響範囲】
LINE PC版(Windows)
- 影響あり 4.8.2.1125 以下のバージョン
- 修正バージョン 4.8.3
Android, iOS, Mac OS, Windows 8/10 版のLINEは影響を受けません、各OSの提供するアプリストアから最新版へのアップデートが可能です。
【関連リンク】
この問題には CVE-2016-4850 / JVN#05924524 が割り当てられています
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4850
https://jvn.jp/jp/JVN05924524/
更新履歴
-2016年8月25日 影響バージョンを修正、脆弱性識別番号を追加
-2016年8月19日 公開