Claybirdです。
以下は、2009年7月29日に公開された「マイクロソフト セキュリティ情報 MS09-035 - 警告」(http://www.microsoft.com/japan/technet/security/bulletin/ms09-035.mspx)に関連する情報です。
当サイトで公開しているLhaForgeを始めとしたソフトウェアは、Microsoft Visual C++ 6/Microsoft Visual Studio 2005(ソフトウェアを作るためのソフトウェアです。以下MSVCと呼びます)により作成されています。
上記のセキュリティ情報は、MSVCに含まれているソースコード(ソフトウェアの設計図)に脆弱性があったため、これを使って作られたプログラムにも脆弱性が存在する可能性があり、リモートでコードが実行される可能性がある、という内容です。
この脆弱性について私の方で調査を行いました。 結論から申し上げますと、当サイトで公開しているソフトウェアについて、この脆弱性の影響はありません。ただし、セキュリティ対策に完璧はないため、可能な限り、安全が確認されていないデータを扱わないようにしてください。
Microsoftの開発者向け情報 日本語 http://msdn.microsoft.com/ja-jp/visualc/ee309358.aspx 英語 http://msdn.microsoft.com/en-us/visualc/ee309358.aspx の中程に安全判定のフローチャートがあります。
・「LhaForgeの右クリックメニュー拡張」以外のソフトウェア 1. COMコンポーネントではないため、フローチャートの最初の"Is a COM component?"は"No"です。 2. "CComVariant"は使用していないため、"Call CComVariant::ReadFromStream(pStream)?"は"No"です。 3. ゴールである"Not Affected"は、「脆弱性の影響なし」を意味します。
・LhaForgeの右クリックメニュー拡張 1. これはCOMコンポーネントですので、フローチャートの最初の"Is a COM component?"は"Yes"です。 2. フローチャート直下の説明文「ステップ 1: COM コンポーネントが ActiveX コントロールである場合、ActiveX コントロールが安全に初期化できる (SFI) かどうかを確認します」について、「LhaForgeの右クリックメニュー拡張」はActiveXコントロールではなく、またSFIではないため、"Marked as SFI?"は"No"です。 3. "CComVariant"は使用していないため、"Call CComVariant::ReadFromStream(pStream)?"は"No"です。 4. ゴールである"Not Affected"は、「脆弱性の影響なし」を意味します。
以上のことから、当サイトで公開しているソフトウェアについて、今回の「マイクロソフト セキュリティ情報 MS09-035 - 警告」による脆弱性の影響は無いと言えます。
|