高木浩光＠自宅の日記

■ ジャストシステムの脆弱性告知ページが大幅に改善

先週、新たに一太郎等の脆弱性に対する修正版が出たが、その告知が以前と違って適切な内容と形式に変わっていた。

• ジャストシステム製品共通のバッファオーバーフロー脆弱性, ジャストシステム, 2008年1月7日

改善されたのは以下の点など。

• 以前は、最終更新日しか書かれていなかったため、いつ発表のものかわからない形式だったが、今回は「公開日」と「更新日」が表示されている。
• どのような場合に被害が発生し得るのかについて、以前は 「不正に改ざんされた一太郎文書を読み込むことで」などと明確にされていなかったのが、今回は、「改ざんされた文書ファイルを直接開いたり、 Webサイト上の文書ファイルをプラグインビューアで開いたり、悪意のあるサイトへのリンクをクリックするなどしてそのサイトに埋め込まれた文書ファイルを意図せず開いてしまった場合」と説明されている。*1
• 以前は、「身に覚えのない電子メールに添付されている文書ファイル、並びに、信頼性が保証されていないWebサイトなどにある、出所の不明な文書ファイルを開かないよう、ご注意ください」などと、開かないようにしてれば大丈夫であるかのような誤解を招く記述があったが、今回はそれがなくなっている。

これにより、今回は報道でも脅威が正しく説明されている。

• 一太郎 for LinuxやConceptBaseなどにも 多数のジャストシステム製品に脆弱性、修正モジュール公開, @IT, 2008年1月7日
• ジャストシステムの汎用ライブラリに脆弱性：広範な製品に影響, ZDNet Japan, 2008年1月7日

  （略）ファイルの保存をしていないという認識がユーザーにあるとしても、実際には閲覧している（＝影響を受ける製品で文書を展開している）ため、脆弱性を突いた攻撃を許してしまうことになる。ジャストシステムによると、一太郎シリーズをインストールすると、プラグインビューアがインストールされるという。

• ジャストシステムの多数製品にまた新たな脆弱性、修正モジュールが公開, INTERNET Watch, 2008年1月7日

ただ、今回の告知文にも疑問な点がある。「脆弱性がもたらす脅威」の説明で、「システム管理者権限でログインして該当製品を利用している場合」とあるが、それ以外の場合にどうなのかが書かれていない*2ため、システム管理者権限で使っていなければ被害が出ないかのようにも読める。しかしそれは本当だろうか？

また、惜しい点がいくつかある。

• 告知文のタイトルが「ジャストシステム製品共通のバッファオーバーフロー脆弱性」と一般的な内容であるため、今後も同じタイトルの文書を出さざるを得ない状況が生じる可能性がある。同じタイトルになっても区別できるよう、シリアル番号を付けるなどするとよい。海外のソフトウェアベンダーはそうしている。（例：Adobe Systemsの場合）
• JVNのJVN#08237857のページで、「ベンダ情報」のところの「ベンダの告知ページ」の部分がなぜか「_」と表示されている。*3

関連：

• ジャストシステムはどこへ向かっているのか, 2007年10月31日の日記