ATOK 15/16 for Windowsに……

本モジュールには、悪意を持ったユーザーがATOK15が導入されているコンピュータを利用して、不正に一部操作が可能になるという脆弱性を修正する内容を含みます。

アップデートモジュール説明文

だそうで。

まさかネットワーク越しに悪用できるって訳でもないんだろうから、ログイン待ち受けからでもプログラムが起動できるとかかね。WindowsのIMEってどういうユーザ権限で動いてるのかしら。

ま、使っちゃいないんで備忘録的に……

Mac版は大丈夫なのかなぁ。

メモ

スラッシュドットのhttp://slashdot.jp/article.pl?sid=04/02/02/124255#487384情報によると、

ATOKの場合ATOKパレット(ツールバーみたいなやつ)から
ヘルプやユーザ登録用のURLショートカット(ブラウザが起動する)を呼び出せるのだけれど、
スクリーンセーバーを解除した時とかに現れる
[コンピュータのロックの解除]でユーザ名部分の漢字入力をするため
ATOKを呼び出した時もそれが操作できちゃったわけ。
(ブラウザとかはウィンドウが画面に出てこないけれど、
裏で動いていることがタスクマネージャで確認できる)

で、問題なのはこれらのプログラムがログイン中のアカウントではなく
SYSTEMアカウントで動作するので権限を持たないユーザが
タスクマネージャで確認するのはできないし、
キーボードを触れるユーザならば好きなだけ
バックグラウンドで立ち上げられるので
キーボードロックも無意味になっちゃったってこと。

パッチ当てたらこれができなくなったから、
このことを脆弱性と捉え修正されたのだと思われ。

2ちゃんねる- ATOK総合スレッド Part7 –

2ちゃんねるなくなると辛いなぁ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

%d人のブロガーが「いいね」をつけました。