ジャストシステムの「CyberSupport」にセキュリティホール | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

ジャストシステムの「CyberSupport」にセキュリティホール

製品・サービス・業界動向 業界動向

 〜PCメーカー各社用のアップデートファイルがリリース〜

 ジャストシステムが開発したヘルプサポートアプリケーションである「CyberSupport」に、セキュリティホールが発見された。このソフトは、ソニー、NEC、東芝、日立に提供されており、各社が販売するパソコンに搭載されている。

 この問題はセキュリティホール memo メーリングリスト上で、高木 浩光氏
が報告を行った物。以前、ソニー製パソコンに搭載されている「CyberSupport for VAIO」にセキュリティホールが発見されているが、今回発見されたセキュリティホールは別の問題となっている。そのため、以前、「CyberSupport for VAIO」にパッチを適用したユーザーにも、今回配布されているパッチの導入が必要である。

 問題は、「CyberSupport」のインストーラによってインストールされるActiveXコントロールにある。したがって、被害が発生するパターンとしては、トラップが仕掛けられたWebページを、Internet Explorerで閲覧したときや、Outlook ExpressなどInternet Explorerを使用するメールソフトで表示したときが上げられる。

 この問題を指摘した高木氏によると、

・任意のパス名のファイルを作成できてしまう。

・任意のパス名のファイルに追記ができ、システムファイルに追記されてしまう可能性があるため、正常に動作しなくなる。

・指定されたキーでレジストリエントリを作成でき、既に存在する場合は上書きできてしまう。

・指定されたパス名のファイルが存在するかを知られてしまう。

など、システムに致命的なダメージを与える可能性もあるという。

 そのため、現在配布されているパッチを速やかに適用するか、インストールされている「CyberSupport」を削除する。もしくは、Internet Explorerの設定を変更し、ActiveXコントロールやスクリプトの実行などを向こうにすることで回避が可能だ。

セキュリティホールmemoメーリングリストに投稿された記事
「CyberSupport for 各社」にファイル破壊等のセキュリティ欠陥
http://memo.st.ryukoku.ac.jp/archive/200205.month/3945.html
http://memo.st.ryukoku.ac.jp/archive/200205.month/3946.html
http://memo.st.ryukoku.ac.jp/archive/200205.month/3947.html

ジャストシステムより配布された各社用のパッチ
http://www.cybersupport.justsystem.co.jp/sony/index.html
http://www.cybersupport.justsystem.co.jp/hitachi/index.html
http://www.cybersupport.justsystem.co.jp/toshiba/index.html
http://www.cybersupport.justsystem.co.jp/nec/index.html


・本記事は、セキュリティホールmemoメーリングリストに投稿された高木氏の投稿を参考にさせていただきました。誌面を借りてお礼申し上げます。


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×