« Windows 2000のUpdate Rollup適用後、FDの上書き保存でExcelなどが停止 | Main | Sony BMG、iMeshの合法P2Pを利用して音楽配信 »

›7 13, 2005

「ネタの種」「紙copi」などIEコンポーネント利用のソフトに脆弱性

[ PCニュース ]

 仕様だと思うので、ソフト側で対策を取っていただけるのは非常に優しい設計だと思う。

 この脆弱性は、不適切なセキュリティゾーンでWebコンテンツの処理を行なうというもので、任意のコードがセキュリティレベルの低いゾーンで実行される可能性がある。JVNでは現在、富士通、ジャストシステム、マナックス、株式会社日本標準、ユミルリンクの製品において該当製品があることを公表している。
 
 このうち、ユミルリンクではWebコンテンツのスクラップブックソフト「紙copi」(「紙 Professional」を含む)のバージョン2.37以前と「紙2001」のバージョン1.9以前が影響を受ける。同ソフトでは取り込んだPCに取り込んだWebコンテンツをIEコンポーネントを利用して表示するが、その際に「インターネットゾーン」で表示すべきところを、セキュリティレベルの低い「ローカルコンピュータゾーン」で表示する仕様になっていたという。
 
 同社では12日、この問題を修正した「紙copi」のバージョン2.39と「紙2001」のバージョン1.95を公開した。新規の取り込みに対してはHTMLのヘッダ部分に「saved from url」コメントを追加することで「インターネットゾーン」で表示されるようになる。既に取り込んだファイルについては、「セキュリティゾーン変換機能」を搭載した。
 
 ジャストシステムのWebスクラップブックソフト「ネタの種」にも同様の脆弱性が存在する。同社でも12日、取り込んだWebコンテンツを「インターネットゾーン」で表示するよう修正したアップデートモジュールを公開した。ただし、体験版においては、12日以前にダウンロードしたバージョンでは、すでに取り込み済みのコンテンツのセキュリティゾーンを変換することはできないとしており、安全のために削除することを勧めている。
 
 なお、IPA/ISECによれば、この脆弱性はIEコンポーネントを利用するアプリケーション側の仕様の問題であり、IEにはこの脆弱性はないとしている。

「ネタの種」「紙copi」などIEコンポーネント利用のソフトに脆弱性
窓の杜 - 【NEWS】「紙2001」「ひらがなナビィ」などIEコンポーネントを利用するソフトに脆弱性


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?