<前の日記(2008年01月07日) 次の日記(2008年01月14日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 513   昨日: 3852

2008年01月13日

ジャストシステムの脆弱性告知ページが大幅に改善

先週、新たに一太郎等の脆弱性に対する修正版が出たが、その告知が以前と違って適切な内容と形式に変わっていた。

改善されたのは以下の点など。

  • 以前は、最終更新日しか書かれていなかったため、いつ発表のものかわからない形式だったが、今回は「公開日」と「更新日」が表示されている。
  • どのような場合に被害が発生し得るのかについて、以前は 「不正に改ざんされた一太郎文書を読み込むことで」などと明確にされていなかったのが、今回は、「改ざんされた文書ファイルを直接開いたり、 Webサイト上の文書ファイルをプラグインビューアで開いたり、悪意のあるサイトへのリンクをクリックするなどしてそのサイトに埋め込まれた文書ファイルを意図せず開いてしまった場合」と説明されている。*1
  • 以前は、「身に覚えのない電子メールに添付されている文書ファイル、並びに、信頼性が保証されていないWebサイトなどにある、出所の不明な文書ファイルを開かないよう、ご注意ください」などと、開かないようにしてれば大丈夫であるかのような誤解を招く記述があったが、今回はそれがなくなっている。

これにより、今回は報道でも脅威が正しく説明されている。

ただ、今回の告知文にも疑問な点がある。「脆弱性がもたらす脅威」の説明で、「システム管理者権限でログインして該当製品を利用している場合」とあるが、それ以外の場合にどうなのかが書かれていない*2ため、システム管理者権限で使っていなければ被害が出ないかのようにも読める。しかしそれは本当だろうか?

また、惜しい点がいくつかある。

  • 告知文のタイトルが「ジャストシステム製品共通のバッファオーバーフロー脆弱性」と一般的な内容であるため、今後も同じタイトルの文書を出さざるを得ない状況が生じる可能性がある。同じタイトルになっても区別できるよう、シリアル番号を付けるなどするとよい。海外のソフトウェアベンダーはそうしている。(例:Adobe Systemsの場合
  • JVNのJVN#08237857のページで、「ベンダ情報」のところの「ベンダの告知ページ」の部分がなぜか「_」と表示されている。*3

関連:

*1 日本語的にはちょっと変だが。「悪意のあるサイトへの……意図せず開いてしまった場合」は、その前の「Webサイト上の文書ファイルをプラグインビューアで開いたり」と同じことを指しているので、「開いたり……開いてしまった場合」と並置するのは変。

*2 これは、情報セキュリティ早期警戒パートナーシップガイドライン付録の「ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル」の「3.1.12 脆弱性対策情報の公表例 望ましい公表の例」にある「脆弱性がもたらす脅威」の文例:

システム管理者権限でログインして本ソフトウエアを利用している場合、攻撃が成功す ると、悪意のある第三者によってコンピュータを完全に制御されてしまう可能性がありま す。これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削 除など、システム管理者の権限でコンピュータを任意に操作する可能性があります。

に影響されたものと思われる。これは、ここまでそのまま使われるとは想定しなかったマニュアルの文例の失敗だ。

*3 まさかJVN編集スタッフがそうするとは考えにくいので、この部分はベンダーからの入力によって自動生成されているのだろうか。それにしても、JVN編集スタッフが直せばいいのにと思し、こうなってしまうJVNの作りが悪い。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20080113]
検索

<前の日記(2008年01月07日) 次の日記(2008年01月14日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2008年01月07日) 次の日記(2008年01月14日)> 最新 編集