Top > RO全般 > 「ガンホーのゲーム用ツールに脆弱性 11月5日配布のActiveX更新が必要です」

2008.11.17

ガンホーのゲーム用ツールに脆弱性 11月5日配布のActiveX更新が必要です

 あまり言いたくないですが、予想どおりの展開でがっかりです。新方式の前には十分すぎるチェックが必要。
 CSRFやら今回のやら、ユーザーが最終テストをする現状から、早く脱却してほしいものです。

 JPCERT/CCによる脆弱性分析の結果は、結構厳しいものになってます。
 ※※11月5日以降ログインされてない方は、速やかにログインし最新版のActiveXに更新してください。※※

 JPCERT/CC
 ※※11月5日以降ログインされてない方は、速やかにログインし最新版のActiveXに更新してください。※※
 大事なことなので2回いいました。

 11月5日以降にログオンしたユーザーはアップデート済みですので、今回の影響はありません。

 続きには、ITmediaの記事とJPCERT/CC脆弱性報告を。
 
ガンホーのゲーム用ツールに脆弱性(ITmedia)
任意のJavaプログラムを実行:
ガンホーのゲーム用ツールに脆弱性
同社が配布するLoadPrgAx ActiveX コントロールに任意のJava Scriptを実行される脆弱性が見つかった。
2008年11月17日 17時58分 更新
 ガンホー・オンライン・エンターテイメントのActiveXコントロール「LoadPrgAx」に任意のJava Scriptが実行される脆弱性が見つかり、情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターが11月17日、JVN(Japan Vulnerability Notes)に公表した。

 LoadPrgAxは、オンラインゲームなどを起動するためのActiveXコントロールで、ユーザーのシステム内にある任意のJava Scriptが実行されてしまう脆弱性が存在する。第三者が脆弱性を悪用して細工したHTMLをユーザーが閲覧すると、任意のJava Scriptが実行される可能性がある。

 ガンホーは脆弱性を修正したLoadPrgAx バージョン 1,0,0,7を公開済みで、JPCERT コーディネーションセンターではユーザーにアップデートを呼びかけている。


ガンホー製 LoadPrgAx において任意の Java プログラムが実行される脆弱性 [2008/11/17 15:00]
公開日:2008/11/17 最終更新日:2008/11/17
JVN#47875752
ガンホー製 LoadPrgAx において任意の Java プログラムが実行される脆弱性

概要
ガンホー・オンライン・エンターテイメント株式会社が提供する LoadPrgAx ActiveX コントロールには、任意の Java プログラムが実行される脆弱性が存在します。

影響を受けるシステム
LoadPrgAx バージョン 1,0,0,6 およびそれ以前

詳細情報
ガンホー・オンライン・エンターテイメント株式会社が提供する LoadPrgAx は、同社が提供するゲームを起動するための ActiveX コントロールです。LoadPrgAx には、ユーザの PC 内にある任意の Java プログラムが実行される脆弱性が存在します。

想定される影響
細工された HTML ドキュメント (ウェブページや HTML 形式のメール) をユーザが閲覧した場合、ユーザの PC 内にある任意の Java プログラムを実行される可能性があります。


対策方法
ベンダが提供する最新版へアップデートしてください。
本件の対策版である LoadPrgAx バージョン 1,0,0,7 は 2008年11月5日からベンダが配布しています。

関連記事

Trackback URL


Comments

ああー やっぱりというかなんというか
穴がこれ一つですめばいいのですがー
脆弱性を公式で公開するとともに、通知したユーザーには感謝を述べるとか。
そういうのは大事だとおもうんですけど、どうなんでしょうね。
感謝なんかする訳ないじゃないのwww
逆に今頃要らん仕事増やしやがってとか逆恨みしてんじゃない。

Comment form