ニュース

JVN#93931029: 風神ビュアーにおけるバッファオーバーフローの脆弱性

公開日 2017 年4月1日


概要

風神ビュアー(ActiveX)にバッファオーバーフローの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、風神ビュアーが動作しているコンピュータ上で、リモートでコードが実行されてしまう危険性があります。
この問題の影響を受ける風神レポートのバージョンを以下に示しますので、以下の修正プログラムを適用してください。

該当製品

影響を受ける製品は以下の製品です。

製品名称 および製品プログラム名

風神ビュアー(Internet Explore上で動作するActiveXプログラム)
HoozinX.ocx

該当バージョン

Ver2|2.で始まる全てのビュアー   (既にサポート終了)
Ver3|3.で始まる全てのビュアー   (既にサポート終了)
Ver4|4.1.5.15 以前のすべてのバージョン
Ver5|5.1.2.13 以前のすべてのバージョン
Ver6|6.0.3.08 以前のすべてのバージョン

使用しているバージョンの確認方法はこちらを参照ください。

脆弱性の説明

風神ビュアーは、データの取得処理にバッファオーバーフローの脆弱性が存在するため、 外部の第三者からネットワーク越しでコードを実行される脆弱性が存在します。

脆弱性がもたらす脅威

風神ビュアーで悪意のある第三者によって作成されたホームページ、もしくは悪意のある第三者によって改ざんされたホームページを閲覧した場合に、リモートでコードが実行されてしまう危険性があります。

・JVN#93931029 技術詳細情報

対策方法

該当バージョンを利用されているお客様は、対策版製品へのアップグレードを行ってください。

修正プログラムの入手方法

アップグレードプログラムの入手方法は2種類あります。

  • 差分プログラムの適用(開発キットがインストールされているPCの場合)
    差分プログラムのダウンロードサイトから、差分プログラムインストーラをダウンロードし、実行します。
    開発環境のビュアーのプログラムが最新になります。このビュアーをクライアントに配布します。
    ※差分プログラムのダウンロードサイトはユーザー登録を頂いた際にご案内しております。

  • ビュアーのインストーラの利用
    ダウンロードページから最新版のビュアーがダウンロードできます。
    お持ちのバージョンのビュアーをダウンロードし、実行しますと 最新のビュアーが適用されます。

ダウンロードページはこちら

修正プログラムによって置き換えられるファイル

HoozinX.ocx

修正済みバージョン

Ver4|4.1.6.1
Ver5|5.1.3.1
Ver6|6.0.4.1

なお、Ver2、Ver3は既にサポートが終了している為、修正プログラムの配布はありません。
万一ご利用の場合には、下記に記載しております回避策を実施されるか、動作検証後Ver4以降へバージョンアップを実施してくさい。

回避策

この脆弱性は、次に示す手順で影響を緩和できる場合があります。

回避策

風神ビュアーが実行できるWebサイトを限定することで、悪意のある第三者によって作成されたホームページ上での動作を防止することができます。
全てのWebサイトで風神ビュアーが実行できる設定の場合に、アドオンの管理で、風神ビュアーが実行できるWebサイトを限定します。

関連情報

JVN#93931029 風神ビュアーにおけるバッファオーバーフローの脆弱性

更新履歴

2017.04.01 この脆弱性情報ページを公開しました。

 


何卒宜しくお願い申し上げます。

株式会社 アイ・コン