公開日:2008/11/17 最終更新日:2009/05/28
JVN#47875752
ガンホー製 LoadPrgAx において任意の Java プログラムが実行される脆弱性
ガンホー・オンライン・エンターテイメント株式会社が提供する LoadPrgAx ActiveX コントロールには、任意の Java プログラムが実行される脆弱性が存在します。
- LoadPrgAx バージョン 1,0,0,6 およびそれ以前
ガンホー・オンライン・エンターテイメント株式会社が提供する LoadPrgAx は、同社が提供するゲームを起動するための ActiveX コントロールです。LoadPrgAx には、ユーザの PC 内にある任意の Java プログラムが実行される脆弱性が存在します。
細工された HTML ドキュメント (ウェブページや HTML 形式のメール) をユーザが閲覧した場合、ユーザの PC 内にある任意の Java プログラムを実行される可能性があります。
アップデートする
べンダが提供する最新版へアップデートしてください。
当該 ActiveX コントロールはゲーム起動時に自動でアップデートの処理が行われます。
詳しくは、ベンダが提供する情報をご確認ください。
| ベンダ | リンク |
| ガンホー・オンライン・エンターテイメント株式会社 | ActiveXコントロール(プログラム)更新のお知らせ |
本件の対策版である LoadPrgAx バージョン 1,0,0,7 は 2008年11月5日からベンダが配布しています。
2008.11.17における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2008-5495 |
| JVN iPedia |
JVNDB-2008-000077 |
- 2008/11/19
- 対策方法とベンダ情報を修正しました。
- 2008/11/21
- 対策方法を修正しました。
- 2008/11/21
- 対策方法を修正しました。
- 2009/05/28
- 関連文書に CVE を追加しました。
