“JP Vendor Status Notes”のリリースページ

　IPAとJPCERT/CCが共同運営する脆弱性対策情報ポータルサイト“JP Vendor Status Notes（以下、JVN）”は12日、IEコンポーネントを利用する一部アプリケーションに任意のコードが実行される脆弱性があることを公表した。これを受け、本脆弱性を修正した「紙2001」「紙copi」の最新版、「ひらがなナビィ」の最新版および修正パッチ、「ネタの種」の修正パッチが公開されている。

　本来IEでインターネット上のコンテンツを表示した場合、セキュリティレベルの高い“インターネット ゾーン”でWebページ描画などの処理が実行される。しかしJVNによると、IEコンポーネントを利用する一部アプリケーションでは、Webコンテンツの描画などの処理がセキュリティレベルの低い不適切なゾーンで実行されてしまうという。たとえば「ネタの種」では、同ソフトに取り込んだWebコンテンツを必ず“マイ コンピュータ ゾーン”で描画していた。この問題が悪用されると、ユーザーのパソコン上で任意のコードが実行され、パソコンを乗っ取られる可能性もあるという。

　なお7月12日17時30分現在、窓の杜のライブラリに収録している、または記事で紹介したことがあるアプリケーションのなかで、本脆弱性の影響を受けることが判明しているものは、「紙2001」「紙copi」「ひらがなナビィ」「ネタの種」の4製品。

□JP Vendor Status Notes
http://jvn.jp/jp/JVN%23257C6F28/
□「紙copi」「紙2001」の表示で利用するMicrosoft Internet Explorer コンポーネントにおけるセキュリティゾーンの扱いに関する脆弱性
http://www.kamilabo.jp/copi/alert050712.html
□「ひらがなナビィ」セキュリティの脆弱性への対応について
http://kids.knowledgewing.com/index4.html
□サポート：アップデート：ネタの種 アップデートモジュール
http://www3.justsystem.co.jp/download/neta/up/win/050712.html
□窓の杜 - 紙 2001
http://www.forest.impress.co.jp/lib/inet/browser/webextn/kami.html
□窓の杜 - ひらがなナビィ
http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/hiragananavi.html
□窓の杜 - 【NEWS】ジャストシステム、スクラップブックソフト「ネタの種」の体験版をリリース
http://www.forest.impress.co.jp/article/2005/03/07/netanotane.html
□窓の杜 - 【特集】付箋紙＆スクラップブックで情報を管理しよう（「紙 copi」の紹介記事）
http://www.forest.impress.co.jp/article/2004/01/15/fusenscrapbook.html

（中井 浩晶）