先週、新たに一太郎等の脆弱性に対する修正版が出たが、その告知が以前と違って適切な内容と形式に変わっていた。
改善されたのは以下の点など。
これにより、今回は報道でも脅威が正しく説明されている。
(略)ファイルの保存をしていないという認識がユーザーにあるとしても、実際には閲覧している(=影響を受ける製品で文書を展開している)ため、脆弱性を突いた攻撃を許してしまうことになる。ジャストシステムによると、一太郎シリーズをインストールすると、プラグインビューアがインストールされるという。
ただ、今回の告知文にも疑問な点がある。「脆弱性がもたらす脅威」の説明で、「システム管理者権限でログインして該当製品を利用している場合」とあるが、それ以外の場合にどうなのかが書かれていない*2ため、システム管理者権限で使っていなければ被害が出ないかのようにも読める。しかしそれは本当だろうか?
また、惜しい点がいくつかある。
関連:
*1 日本語的にはちょっと変だが。「悪意のあるサイトへの……意図せず開いてしまった場合」は、その前の「Webサイト上の文書ファイルをプラグインビューアで開いたり」と同じことを指しているので、「開いたり……開いてしまった場合」と並置するのは変。
*2 これは、情報セキュリティ早期警戒パートナーシップガイドライン付録の「ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル」の「3.1.12 脆弱性対策情報の公表例 望ましい公表の例」にある「脆弱性がもたらす脅威」の文例:
に影響されたものと思われる。これは、ここまでそのまま使われるとは想定しなかったマニュアルの文例の失敗だ。システム管理者権限でログインして本ソフトウエアを利用している場合、攻撃が成功す ると、悪意のある第三者によってコンピュータを完全に制御されてしまう可能性がありま す。これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削 除など、システム管理者の権限でコンピュータを任意に操作する可能性があります。
*3 まさかJVN編集スタッフがそうするとは考えにくいので、この部分はベンダーからの入力によって自動生成されているのだろうか。それにしても、JVN編集スタッフが直せばいいのにと思し、こうなってしまうJVNの作りが悪い。