有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)と独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は11月17日、ガンホー・オンライン・エンターテイメントが提供するLoadPrgAx ActiveXコントロールに、任意のJavaプログラムが実行される脆弱性が存在するとして注意を呼びかけた。
LoadPrgAxは、ガンホーが提供するゲームを起動するためのActiveX コントロール。脆弱性はバージョン1,0,0,6およびそれ以前に存在する。細工されたHTMLドキュメントをユーザーが閲覧した場合、ユーザーのPC内にある任意のJavaプログラムを実行される恐れがある。
ガンホーでは、この問題を解消する最新版1,0,0,7を11月5日より公開しており、アップデートを呼びかけている。なお、JPCERT/CCではこの脆弱性について、攻撃経路では「インターネット経由からの攻撃が可能」(評価値:高)、認証レベルでは「匿名もしくは認証なしで攻撃が可能」(高)、攻撃成立に必要なユーザーの関与では「リンクをクリックしたり、ファイルを閲覧するなどのユーザー動作で攻撃される」(中)、攻撃の難易度では「ある程度の専門的知識や運が必要」(中〜高)と評価している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
NTT Comのオープンイノベーション
「ExTorch」5年間の軌跡
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
先端分野に挑み続けるセックが語る
チャレンジする企業風土と人材のつくり方
すべての業務を革新する
NPUを搭載したレノボAIパソコンの実力
日本のインターステラテクノロジズが挑む
「世界初」の衛星通信ビジネス
「1→10」の事業化を支援する
イノベーション共創拠点の取り組みとは