ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
高木浩光@自宅の日記 - ジャストシステムの脆弱性告知ページが大幅に改善
■ ジャストシステムの脆弱性告知ページが大幅に改善 先週、新たに一太郎等の脆弱性に対する修正版が出たが、その告知が以前と違って適切な内容と形式に変わっていた。 ジャストシステム製品共通のバッファオーバーフロー脆弱性, ジャストシステム, 2008年1月7日 改善されたのは以下の点など。 以前は、最終更新日しか書かれていなかったため、いつ発表のものかわからない形式だったが、今回は「公開日」と「更新日」が表示されている。 どのような場合に被害が発生し得るのかについて、以前は 「不正に改ざんされた一太郎文書を読み込むことで」などと明確にされていなかったのが、今回は、「改ざんされた文書ファイルを直接開いたり、 Webサイト上の文書ファイルをプラグインビューアで開いたり、悪意のあるサイトへのリンクをクリックするなどしてそのサイトに埋め込まれた文書ファイルを意図せず開いてしまった場合」と説明されている
高木浩光@自宅の日記 - 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰?
■ 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰? 目次 一太郎zero-day攻撃発覚経緯の謎 Symantecは脆弱性分析のプロではない 日本人Symantec社員は非日本国民か 非国民は誰? ジャストシステム社も経済産業省告示を無視? 現行の届出制度はzero-day攻撃に対応していない 一太郎zero-day攻撃発覚経緯の謎 先週こんな報道があった。 一太郎の脆弱性を狙う新たな攻撃、集中的に狙われているとSymantecが警告, INTERNET Watch, 2007年12月14日 またか。 「また一太郎か」という意味ではなく、「また Symantec か」という意味でだ。 一太郎関連製品のバッファオーバーフロー系の脆弱性はこれまでに8回見つかっており、うち3回は、攻撃に悪用される前にIPAとJPCERT/CCを通じて事前に修正されたもの(JVN#90815371,
一太郎にまたゼロデイ攻撃、集中的な弱点探しの標的に
米Symantecは12月13日、ジャストシステムの一太郎の未パッチの脆弱性を悪用したトロイの木馬が見つかったと報告した。 Symantecがサンプルを入手した問題の一太郎文書は、感染したシステムにバックドアを開くトロイの木馬(同社は「Tarodrop.F」と命名)になっており、電子メールの添付ファイルとして届くという。 影響を受けるのは一太郎2005、2006、2007。12月13日時点でジャストシステムのパッチは公開されておらず、不審な「.jtd」ファイルの扱いには慎重を期すよう呼びかけている。 一太郎シリーズを狙ったゼロデイ攻撃が相次いで発生していることについてSymantecは、ソフトウェアにバグやセキュリティホールは付きものだが、マルウェア作者は一部の不運なベンダーやソフトにいったん目を留めると、傷ついた獲物に群がるハゲワシのように、そのソフトをあらゆる方面から攻撃するようになる
高木浩光@自宅の日記 - ジャストシステムはどこへ向かっているのか
■ ジャストシステムはどこへ向かっているのか ジャストシステムが、ユーザの安全確保よりも、何らかの別の目標*1に向かっているらしいことは、次の事例で一目瞭然だろう。 こんな言い回しは他で見たことがない。 脆弱性情報を公表することの目的が、まだ修正版の存在を知らされていないユーザに対してアップデートの必要性を周知することにあるということは、(ユーザの立場で考えれば)誰でもわかるはずだ。それなのに、ジャストシステムは、まず先に、「ご安心ください」と言う。(図1の1つめの矢印部分。) Kaspersky Internet Security 6.0 および Kaspersky Anti-Virus 6.0のVista対応版プログラム以前の製品(バージョン 6.0.0.306)で5つの脆弱性が発見されています。この問題に対する修正は、3月14日より無償でダウンロード提供しているVista対応版プログ
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (update: 2007.11.1) | お知らせ | ジャストシステム
お知らせ 07.11.01 一太郎の脆弱性を悪用した不正なプログラムの実行危険性 について (update: 2007.11.1) 現象とその対処方法 一太郎の「セキュリティ更新モジュール」を公開いたします。 悪意のある第三者に不正に改ざんされた一太郎文書を読み込むことによって、 任意のコードが実行され、パソコンが不正に操作される危険性があります。 悪意の攻撃者はそのようなファイルを電子メールの添付ファイルにして送りつけたり、 Webサイトに置くことで攻撃を仕掛けます。 お客様がそのようなファイルを開いたり、リンクをクリックすることで、 意図せず不正な一太郎文書を読み込み、悪意の攻撃を実行させてしまう恐れがあります。 本モジュールを導入することで、今回の脆弱性を悪用し改ざんしたファイルを一太郎で開いても、不正な動作は発生しなくなります。 セキュリティ更新モジュール導入にかかわらず、身に覚え
高木浩光@自宅の日記 - 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない
■ 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない 目次 ワープロソフトの「脆弱性」とは? ゼロデイ攻撃に見舞われ続ける一太郎 「危険度:低」って正気で言ってるの? パソコン初心者並みの認識のソフト会社 「攻撃成立に必要なユーザの関与」は「積極的」か「消極的」か 知られざる一太郎ビューアplug-inの存在 受動的攻撃がもはや最大級の脅威 ジャストシステムは回答を拒否 製品ベンダーが発表しなければ危険性を周知できない 発見者の指摘があっても無視 メディアはJVN情報を伝えるときどうして発見者に取材しないの? plug-inを無効にする方法 ワープロソフトの「脆弱性」とは? 先週、新たな一太郎の脆弱性と修正パッチが公開された。「一太郎の脆弱性」と聞いて、どんなときに危険のある話だと理解されるだろうか。ジャストシステム社の告知文には次のよう
一太郎の脆弱性、リンクのクリックだけで悪用される可能性も - @IT
2007/10/26 ジャストシステムは10月25日、ワープロソフト「一太郎」シリーズに脆弱性が存在することを明らかにし、修正用のモジュールを公開した。 影響を受けるのは「一太郎2007/2006/2005/2004/13/12/11」のほか、「一太郎ガバメント2007/2006/2005」「一太郎2007体験版」「一太郎 文藝」「一太郎Lite2」など。「一太郎ビューア」とLinux版の「一太郎 for Linux」にも脆弱性が存在する。 脆弱性は全部で3種類ある。「JSTARO4.OCX」に2種類、「TJSVDA.DLL」に1種類のバッファオーバーフローの脆弱性が存在し、細工を施したリッチテキストファイルを開くと、攻撃者が仕込んだ任意のコードが実行される恐れがある。この結果、ウイルスやボットに感染したり、システムを破壊される可能性もある。 セキュリティ企業のフォティーンフォティ技術研究
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
テクノロジー : 日経電子版
一太郎シリーズに致命的な欠陥。パッチリリース | スラド
About Secunia Research | Flexera
脆弱性関連情報取扱い:脆弱性関連情報の調査結果:IPA 独立行政法人 情報処理推進機構
「一太郎シリーズ」に3件の脆弱性、更新モジュール配布開始
「一太郎シリーズ」における3つのセキュリティ上の弱点(脆弱性)の注意喚起:IPA 独立行政法人 情報処理推進機構