ジャストシステムの「CyberSupport」にセキュリティホール
〜PCメーカー各社用のアップデートファイルがリリース〜
製品・サービス・業界動向
業界動向
ジャストシステムが開発したヘルプサポートアプリケーションである「CyberSupport」に、セキュリティホールが発見された。このソフトは、ソニー、NEC、東芝、日立に提供されており、各社が販売するパソコンに搭載されている。
この問題はセキュリティホール memo メーリングリスト上で、高木 浩光氏
が報告を行った物。以前、ソニー製パソコンに搭載されている「CyberSupport for VAIO」にセキュリティホールが発見されているが、今回発見されたセキュリティホールは別の問題となっている。そのため、以前、「CyberSupport for VAIO」にパッチを適用したユーザーにも、今回配布されているパッチの導入が必要である。
問題は、「CyberSupport」のインストーラによってインストールされるActiveXコントロールにある。したがって、被害が発生するパターンとしては、トラップが仕掛けられたWebページを、Internet Explorerで閲覧したときや、Outlook ExpressなどInternet Explorerを使用するメールソフトで表示したときが上げられる。
この問題を指摘した高木氏によると、
・任意のパス名のファイルを作成できてしまう。
・任意のパス名のファイルに追記ができ、システムファイルに追記されてしまう可能性があるため、正常に動作しなくなる。
・指定されたキーでレジストリエントリを作成でき、既に存在する場合は上書きできてしまう。
・指定されたパス名のファイルが存在するかを知られてしまう。
など、システムに致命的なダメージを与える可能性もあるという。
そのため、現在配布されているパッチを速やかに適用するか、インストールされている「CyberSupport」を削除する。もしくは、Internet Explorerの設定を変更し、ActiveXコントロールやスクリプトの実行などを向こうにすることで回避が可能だ。
セキュリティホールmemoメーリングリストに投稿された記事
「CyberSupport for 各社」にファイル破壊等のセキュリティ欠陥
http://memo.st.ryukoku.ac.jp/archive/200205.month/3945.html
http://memo.st.ryukoku.ac.jp/archive/200205.month/3946.html
http://memo.st.ryukoku.ac.jp/archive/200205.month/3947.html
ジャストシステムより配布された各社用のパッチ
http://www.cybersupport.justsystem.co.jp/sony/index.html
http://www.cybersupport.justsystem.co.jp/hitachi/index.html
http://www.cybersupport.justsystem.co.jp/toshiba/index.html
http://www.cybersupport.justsystem.co.jp/nec/index.html
・本記事は、セキュリティホールmemoメーリングリストに投稿された高木氏の投稿を参考にさせていただきました。誌面を借りてお礼申し上げます。
《ScanNetSecurity》