2008.6.20 nProtect Netizenに脆弱性発見、並びに対応完了のご報告 ■危険度：低 ■影響を受けるプロダクト： nProtect Netizen　Ver5 ■概要： 開発元インカ・インターネットは nProtect Netizen に脆弱性があるとされる問題に対応いたしました。 JPCERT/CC より nProtect Netizen の脆弱性に関し、以下の内容の報告を受けました。 nProtect Starter Control (Active X)に脆弱性があり、不正なアップデートページに導かれるとnProtect Netizenが起動できなくなります。 ただし、PCを再起動していただければ、アップデートされ正常な状態に修正されます。 また、上記の脆弱性を実際に悪用したという情報や、この問題に起因したトラブル等の報告は受けておりません。 ■脆弱性詳細： 不正なアップデートページにおいて、nProtect Starter Control (Active X)(CLSID=51B1D5ED-67DC-43F0-A3F8-8502F1A5E404) 経由で起動されるnProtect Netizen のアップデートモジュール(npdownx.exe)に　PolicyUrlパラメータとして不正な文字列が引き渡されるとアップデートモジュール(npdownx.exe)が異常終了するため、nProtect Netizenにより保護されるべきwebページを訪問した際にnProtect Netizenが起動できなくなります。 ■開発元インカ・インターネットの対応 開発元インカ・インターネットは、この脆弱性を確認し、nProtect Netizenに以下の対策を実施いたしました。 ActiveX で使用されるOCXのPolicyUrlパラメーターが不適切な場合、OCXの動作を中止させ警告画面を表示するように修正することで、アップデートモジュールの異常終了を防ぎます。 ■アップデートについて 2008年6月18日15時30分、この脆弱性に対応する修正アップデートをリリースしました。 修正アップデートはnProtect Netizenを起動またはPCの再起動により自動的に適用されます。 また、 nProtect Netizen のインストールページにて再インストールすることでも同じように修正されます。 ■アップデート後のバージョンについて システムフォルダ「通常C:\WINDOWS\system32」の配下のnpstarter.ocxのプロパティ→「バージョン情報」タブ→「ファイルバージョン」項目を確認し、その値が「2008, 6, 16, 1」になっているとアップデート後の最新のバージョンになります。 ※2008年6月18日15時30分現在の最新バージョンです。 　以降のバージョン（バージョン情報は日付で記述しております）であれば対応済みです。 ■謝辞 本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPA に報告し、JPCERT/CCがベンダとの調整を行いました。 報告者：　フォティーンフォティ技術研究所リサーチチーム　鵜飼 裕司氏 ■免責事項 この文章に記載されている情報は、本ページに掲載時点で確認されていた情報を基に構成されています。 記載情報の使用は、現状のまま使用することを条件に認められています。 弊社は，本ページの情報その他の記載内容に関しては、万全を期しておりますが、その内容についていかなる保証をするものではありません。本書の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、弊社及び弊社に情報を提供している第三者は一切の責任を負うものではありません。 Copyright (c)2008 NetMove Corporation. All rights reserved.