Internet Watch logo
記事検索
最新ニュース

「ネタの種」「紙copi」などIEコンポーネント利用のソフトに脆弱性

任意のコードが「ローカルコンピュータゾーン」で実行される恐れ

 情報処理推進機構セキュリティセンター(IPA/ISEC)は12日、Internet Explorer(IE)のコンポーネントを利用したアプリケーションにおいて、セキュリティゾーンの扱いに関する脆弱性があることを公表した。JPCERT/CCとIPA/ISECが共同運営する脆弱性情報の提供サイト「JP Vendor Status Notes(JVN)」で公表した。

 この脆弱性は、不適切なセキュリティゾーンでWebコンテンツの処理を行なうというもので、任意のコードがセキュリティレベルの低いゾーンで実行される可能性がある。JVNでは現在、富士通、ジャストシステム、マナックス、株式会社日本標準、ユミルリンクの製品において該当製品があることを公表している。

 このうち、ユミルリンクではWebコンテンツのスクラップブックソフト「紙copi」(「紙 Professional」を含む)のバージョン2.37以前と「紙2001」のバージョン1.9以前が影響を受ける。同ソフトでは取り込んだPCに取り込んだWebコンテンツをIEコンポーネントを利用して表示するが、その際に「インターネットゾーン」で表示すべきところを、セキュリティレベルの低い「ローカルコンピュータゾーン」で表示する仕様になっていたという。

 同社では12日、この問題を修正した「紙copi」のバージョン2.39と「紙2001」のバージョン1.95を公開した。新規の取り込みに対してはHTMLのヘッダ部分に「saved from url」コメントを追加することで「インターネットゾーン」で表示されるようになる。既に取り込んだファイルについては、「セキュリティゾーン変換機能」を搭載した。

 ジャストシステムのWebスクラップブックソフト「ネタの種」にも同様の脆弱性が存在する。同社でも12日、取り込んだWebコンテンツを「インターネットゾーン」で表示するよう修正したアップデートモジュールを公開した。ただし、体験版においては、12日以前にダウンロードしたバージョンでは、すでに取り込み済みのコンテンツのセキュリティゾーンを変換することはできないとしており、安全のために削除することを勧めている。

 なお、IPA/ISECによれば、この脆弱性はIEコンポーネントを利用するアプリケーション側の仕様の問題であり、IEにはこの脆弱性はないとしている。


【追記 2005/7/13 22:00】
 富士通のソフトでは、「ひらがなナビィ」「翻訳サーフィン」「ATLAS翻訳パーソナル」「ATLAS」「BizLingo」「ATLAS翻訳サーバ」「らくらくブラウザ」「らくらくメール」にこの脆弱性があることが確認された。それぞれ修正モジュールを公開している。


関連情報

URL
  IPA/ISECのニュースリリース
  http://www.ipa.go.jp/security/vuln/documents/2005/JVN_257C6F28_ie.html
  JVNの脆弱性情報
  http://jvn.jp/jp/JVN%23257C6F28/index.html
  「紙copi」「紙2001」における脆弱性情報
  http://www.kamilabo.jp/copi/alert050712.html
  「ネタの種」における脆弱性情報
  http://www.justsystem.co.jp/info/pd5001.html
  富士通製ソフトにおける脆弱性情報
  http://software.fujitsu.com/jp/security/vuls/257C6F28_zone.html

関連記事
ジャストシステム、Webサイトの情報をスクラップできる「ネタの種」(2004/12/07)


( 永沢 茂 )
2005/07/12 16:48

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.