ガンホー製ActiveXコントロールに脆弱性--任意のJavaプログラムが実行される恐れ

　有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）と独立行政法人 情報処理推進機構セキュリティセンター（IPA/ISEC）は11月17日、ガンホー・オンライン・エンターテイメントが提供するLoadPrgAx ActiveXコントロールに、任意のJavaプログラムが実行される脆弱性が存在するとして注意を呼びかけた。

　LoadPrgAxは、ガンホーが提供するゲームを起動するためのActiveX コントロール。脆弱性はバージョン1,0,0,6およびそれ以前に存在する。細工されたHTMLドキュメントをユーザーが閲覧した場合、ユーザーのPC内にある任意のJavaプログラムを実行される恐れがある。

　ガンホーでは、この問題を解消する最新版1,0,0,7を11月5日より公開しており、アップデートを呼びかけている。なお、JPCERT/CCではこの脆弱性について、攻撃経路では「インターネット経由からの攻撃が可能」（評価値：高）、認証レベルでは「匿名もしくは認証なしで攻撃が可能」（高）、攻撃成立に必要なユーザーの関与では「リンクをクリックしたり、ファイルを閲覧するなどのユーザー動作で攻撃される」（中）、攻撃の難易度では「ある程度の専門的知識や運が必要」（中〜高）と評価している。