一太郎、花子などジャストシステム製品にバッファオーバーフロー脆弱性 28
ストーリー by yoosee
自動アップデータなんかは無いんでしょうか 部門より
自動アップデータなんかは無いんでしょうか 部門より
Anonymous Coward 曰く、
JVN#47272891経由、ジャストシステムの告知文によると、一太郎2005、一太郎2004、一太郎 文藝、一太郎ビューア 4.0、花子2006、花子2005、花子2004、花子ビューア 1.0、三四郎2005、一太郎Lite2 /R.2 にバッファオーバーフロー脆弱性があり、パッチがリリースされたようだ。未パッチの製品を使用している場合に悪意ある一太郎、花子、三四郎文書等を開くと、任意コードを実行される可能性がある。一太郎を普段使用していない人でも一太郎ビューア等をインストールしている場合には影響を受けるので注意が必要だ。
一太郎の脆弱性については、未知の脆弱性を突いたいわゆる「ゼロデイ攻撃」が今年の8月と9月の2回にわたって発生していた(8月と9月のセキュリティホールmemoのまとめ参照)。このときは「小泉首相の靖国神社参拝速報.JTD」というファイル名の添付ファイル入りメールがばら撒かれていた。 今回の脆弱性に対して再び同様の攻撃が行われる恐れがあるが、こうして未然にパッチがリリースされたことは評価したい。
しかし、全国の膨大な数のユーザがこのことに気づいてパッチを適用できるかどうかが心配だ。ジャストシステムは顧客への告知等は行っているのだろうか。
ジャストシステムの対応 (スコア:2, 参考になる)
メールでのお知らせがきましたよ?
コピーユーザとか未登録でもなければ大丈夫じゃないですか?
もっとも、ジャストシステムは宣伝メールも多いので無視する人も多そうですが。
Re:ジャストシステムの対応 (スコア:4, 参考になる)
アップデートモジュール公開→メール通知
8月18日公開→8月21日通知 Subject: UsersInfo【モジュール公開のお知らせ:一太郎をより安心してご利用いただくために】8/21
9月29日公開→10月2日通知 Subject: UsersInfo【一太郎 セキュリティ更新モジュール公開のお知らせ】10/2
どちらも3日遅れでメールが来てますね。今回の件についてメールが来るのは12/8頃になるのでしょうか?
ちょっと対応が遅いような気がします。
Re:ジャストシステムの対応 (スコア:2, 参考になる)
・サポート・サービス情報
・バージョンアップ・オプション情報
・新製品・お得な情報
ちなみに,リリースとお知らせメールがずれることに関しては,
「■ダウンロード時の過剰な混雑を防ぐため、モジュール公開日から数日後にメールが届く場合があります。」
とメールのフッタにあります.しかし,とりあえずセキュリティパッチは早く通知してほしいものです.
Re:ジャストシステムの対応 (スコア:0, 余計なもの)
Re:ジャストシステムの対応 (スコア:0)
#まぁ、使ってませんけど。
#無料で落とせるビューアにサポートまで要求するのか? M1erも、何でこれが「参考になる」んだ?
ちなみに、別コメントで指摘されてる、宣伝メールが多いとのJSからのメールサービス(?)ですが、一太郎Web辺りで配信を設定するページがあります。セキュリティ関係の情報だけ絞り込めたような気も。私はそこで変更した気がします。あいまいなんで、誰かフォローが欲しいです。
#M1来てたら落とすのでAC
Re:ジャストシステムの対応 (スコア:0)
ジャスト製品にはない。
で、オーケー?
#M1来てたら落とすのでAC
Re:ジャストシステムの対応 (スコア:0)
#荒らしモデで十分だろ
Re:ジャストシステムの対応 (スコア:0)
膨大な数? (スコア:1, 興味深い)
>かが心配だ。ジャストシステムは顧客への告知等は行っているのだろうか。
この文章に悪意を感じたのだが、俺が行間を無駄に読みすぎてるせいか?
Re:膨大な数? (スコア:1, 興味深い)
前回の脆弱性のとき [srad.jp]、タレこみの最後に余計な一言がついていてフレームが起こったことに対する意趣返し、または皮肉と理解しました。
どっちにしても、あまり品がいい行いではないと思いますが。
インターネットセキュリティ (スコア:1)
こいつが検知ブロックしてくれるのか気になるところ。
ついでに、今回のパッチを入れるよう警告してくれるととってもナイスかも。
Re:インターネットセキュリティ (スコア:2, すばらしい洞察)
そんな手の込んだことを連携してやってくれるとは期待する方が間違ってる気がします。
自動アップデート通知みたいな機能を一太郎等につけるのが現実的には一番いい対策の気がします。
一太郎ビュアーには・・・ (スコア:1, 参考になる)
アップデートするか聞いてきました。ちなみにアップデート後バージョン
は4.1。
Re:インターネットセキュリティ (スコア:1)
一太郎などの主力製品はまだ手動での適用が必要なんですね。
次のバージョンではぜひ、と言いたいところですが間に合うのかな。
匠気だけでは商機なく、正気なだけでは勝機なし。
どうでもいい…わけないんだけど。 (スコア:1, すばらしい洞察)
Windows Server 2003 ではダウンロードできない(http://bakera.jp/hatomaru.aspx/ebi/topic/2727 [bakera.jp])こともあるわけですし。
>ジャストシステムは顧客への告知等は行っているのだろうか。 (スコア:0)
Re:>ジャストシステムは顧客への告知等は行っているのだろうか。 (スコア:0)
Re:>ジャストシステムは顧客への告知等は行っているのだろうか。 (スコア:0)
未修正のままご使用になりますと、バッファーオーバーフロー等の・・・
#パロマのもそうだったが妙に威圧感があるなこれ
リリース日 (スコア:0)
Re:リリース日 (スコア:0)
無いと思ったら調べてコメントするくらいしてあげたら親切なんじゃ?
Re:リリース日(ハイ、おふとぴ) (スコア:0, フレームのもと)
Re:リリース日(ハイ、おふとぴ) (スコア:0)
過去のすらどJのコメントをもっと読むといいと思いますよ。
# タレコミ人すら読んでいないから、ストーリーにリリース日が出てこないんだけどさ。
パッチ? (スコア:0)
アップデートモジュールですよ。
--
パッチしていない可能性がある。
よかった、 (スコア:0)
#ATOK15+iDisk50MBがほしかったから一太郎12買った人
Re:JVNに載ったソフトは恥 (スコア:0)