GoSign Desktopのバージョン2.4.0以下に、リモートコード実行(RCE)を可能にする重大な脆弱性が発見されました。この脆弱性を悪用することで、攻撃者は不正な更新やTLSバイパスを通じて任意のコードを実行できるようになります。具体的には、プロキシを設定した場合にTLS証明書の検証が無効になり、署名されていないマニフェストに基づいて更新が行われるため、セキュリティが著しく損なわれます。Tinexta InfoCertは初めは協力的でしたが、情報を受け取った後の連絡が途絶え、新バージョンのリリースに際しての公表もありませんでした。これにより、責任ある情報開示のベストプラクティスに反する行動が加速し、強制的な情報開示が行われました。ユーザーは、悪意のあるソフトウェアのインストール、認証情報の盗難、権限昇格などのリスクにさらされています。