ATOK15/16に外部から操作できてしまう脆弱性 54
ストーリー by yourCat
こんなところにも穴 部門より
こんなところにも穴 部門より
Anonymous Coward曰く、"ジャストシステムはATOK15/16に、外部からの操作が可能になってしまうという脆弱性を発見し、その問題を修正するアップデートモジュールを公開した。INTERNET Watchの記事によると、ジャストシステムはセキュリティ上の観点からこの件に関する詳細な情報は公表しないそうだ。
Windowsプラットフォームではユーザーはけっこう多いはずなので、それぞれすみやかに対処したほうがいいと思う。"
ジャストシステムの説明では「悪意を持ったユーザーがATOK15/16が導入されているコンピュータを利用して、不正に一部操作が可能になるという脆弱性」だという。ATOK14以前および17にはこの脆弱性はないそうだ。
2chより (スコア:2, 参考になる)
自分もATOK16愛用者 (スコア:1, オフトピック)
ダウンロードしたら直ぐにアップデートを実施したいと思います。
Super Souya
Re:自分もATOK16愛用者 (スコア:1, 参考になる)
#が、Linuxインストール時にセキュリティ強を選ぶとXIMが起動しないのはやりすぎだと思う(日本国内仕様としては)
Re:自分もATOK16愛用者 (スコア:2, 参考になる)
これはLinux用のATOKXも同様であり、多くの人が気付いている はずなのに修正は行われていません。こっそりで良いので 修正して欲しいです。e-JapanだLinuxだと言っている時に プライバシーを軽視するのは頂けません。
+参考になる (スコア:1)
確か、記名投稿でモデレーション消せますよね?(^^;
Re:+参考になる (スコア:1)
#オフトピの例
READY P0
Re:自分もATOK16愛用者 (スコア:1)
今回のような問題はなかったンですかね?
色んなディストロに入ってましたし,使ってる人も結構居そうだけど。
Re:自分もATOK16愛用者 (スコア:1)
よく言われると思うけど、最近のATOKってわけのわからん機能ばかり付いてきて、本質的な部分でのアップグレードってほとんど無いような気がしてます。
だからATOKユーザでも古いものを使っている人って結構多いんじゃないかな。
#SafariとMac版ATOKは相性が悪いようなのでEGBridgeに乗り換え検討中。
Re:自分もATOK16愛用者 (スコア:1)
ATOK16 は標準で Safari との相性問題はありません。
それと、ATOK15から予測変換があるので、バージョンアップすると結構惚れなおすかも知れませんよ。
#別に販売員ではありませんが。
私はATOK14愛用者 (スコア:1)
その後3つおきにバージョンアップすることにしたので、現在は14です。
15、16と空けたので、今回17(一太郎2004)を買おうと思っていたのですが、
ちょうど空けた2つに脆弱性が(苦笑)
タイミングいいのやら悪いのやら……
#まぁ、17は買いますけど。
「外部から」なの? (スコア:1)
Anonymous Coward氏による記事タイトルおよび本文だと逆に、「ATOKに対して」外部(ネットワークなど越しとか?)から不正操作ができるように読めてしまうのですが、これは間違いのような気がしないでもないです。
前者だとすると、ローカルのアカウントを持っている人間しか突けない穴のようですね。もちろん、だから危険性が低いというつもりはありませんが。
# 目の前で勝手に漢字変換が始まったらそれはそれで楽しいかも……。
# いや、del *.* /Sとかされたら笑えませんが。
-May the sakura-cards be with you.-
Re:「外部から」なの? (スコア:1)
「ATOK16が導入されているPCを利用して不正に一部操作が可能になってしまうというもの。」
とあるので、ATOK16が外部に対して開いているものがあるんでしょうな。
で、そこを通してある程度のコントロールができるようになると。
まあ、パッチが出て何よりってことなんだけど、気になったのが、
「ジャストシステムでは、「セキュリティ上の問題から、この脆弱性に関する詳細な原因等は公表しない方針だ」としている。 」
ってところかな…。
プロプラだからって言うのかもしれないが、
正直時代に思いっきり逆行してるようにしか見えない…。
#FEPに過ぎないATOKが外部に対し出入り口を持っていたのもビックリだけど。
#こういうのを見ると、さり気なく外部に晒してるアプリとか沢山いるんだろうなと思う。
Re:「外部から」なの? (スコア:1)
管理者が設定したグローバルポリシーを超えて禁止されているメーラなんかを起動可能だった・・・
とか、そのセンじゃないかなぁと妄想してみました。
Re:「外部から」なの? (スコア:1)
従って、「外部から攻略できる穴なのかもしれない」として対応すべきだと思います。
それはともかくとして、Justsystem はきちんとしたセキュリティ勧告文書を公開すべきでしょう。ダウンロードページに (だけ) セキュリティ patch がいきなり出現している、なんて状況は最低だと思います。
発見し? (スコア:1, すばらしい洞察)
Re:発見し? (スコア:1)
JustSystemといえば、Shurikenの脆弱性 [ryukoku.ac.jp]を高木氏がつっこんでたのが記憶に新しいような古いような。
邪推 (スコア:1)
# 詳細な情報は公表しないなんて言われると余計気になるなー
Re:邪推 (スコア:1)
■転送ファイル名
C:\PROGRAM FILES\JUSTSYSTEM\ATOK16
ATOK16PR.DLL
IATQB16.EXE
C:\WINDOWS\SYSTEM32
ATOK16DE.DLL
ATOK16W.IME
とでるので、iATOK絡みなのは可能性高い気がします。
# rm -rf ./.
タイミングが・・・。 (スコア:1)
分かってたけど、17発売まで黙ってたとか・・・違うよね?>JS
---Over, hri.---
それより(オフトピかも) (スコア:1)
ある日突然1Gくらいのユーザー辞書が生成されてそのまま壊れちゃう
ってことに結構遭遇しています。
あとIME有効無効のキー操作でそのまま対象ウィンドウ(アプリ?)とともに落ちちゃうとか。
atok16をしばらく使ってたんですがやけにそんなようなのが起こりやすくなっちゃったんで
atok15にダウングレードして使ってます。
んであんまりというか全然性能差気にならないもんだからatok17は買うかどうか迷い中で・・・うーん。
IMEの話題のときにはまま話題にあがってるような気もしますが
ググってみても一部でしか話題になってないから
環境依存なのかなぁ。何のソフトとバッティングしてるんだろ。
Re:それより(オフトピかも) (スコア:2, 参考になる)
これも結構デカいバグなんだけど、いっこうに直りませんなぁ。
ひょっとして (スコア:1)
ATOKの不具合はちょくちょく聞くわりに、あらためて情報を探そうとGoogleくんに聞いてみても、ATOKそのものの不具合が載ってる個人のページで上位に来るのは
- Windows版以外(Mac、Palm、Linuxなど)
- 1年以上前のページ
ばかりで、なぜかWindows版の話題が上位にはこない。ユーザーの比率を考えると不自然な気がしないでもない。
Re:ひょっとして (スコア:0)
個人サイトでは検索語句に関連する内容の重要性よりも
他の話題で人気を博したとか当該サイトの相互リンクの付き合いや
はてなダイアリーのような大手サイトで間借りしていることが
上位に来る大きな要素になっているよ。
それで (スコア:1)
- Windows版ATOKの不具合に言及したページが上位にこない
- Mac版ATOKなら出てくる
ことを合理的に説明できますか?MacとWindowsのユーザー比率を考えたら、他のサイトからリンクされる頻度もWindows版の方が多いと思いますが。
Re:ひょっとして (スコア:0)
辞書 (スコア:1)
#ATOK14使いなので、既に登録されていたらすまぬ
Re:辞書 (スコア:1)
「いきち」でも出ます。
辞書配信システム (スコア:0)
クライアントのバージョンも合うし。
http://www.justsystem.co.jp/software/dt/atok16bs/index.html
http://www.atok.com/abs/
街頭しすてむに (スコア:0)
Re:街頭しすてむに (スコア:0)
Port State Service
22/tcp open ssh
427/tcp open svrloc
548/tcp open afpovertcp
631/tcp open ipp
1033/tcp open netinfo
これで満足した?
#nmapで何でもわかると想ってるお子様が紛れ込んだようで。
とりあえず・・・ (スコア:0)
Re:とりあえず・・・ (スコア:1)
# ACなのでAC
Re:とりあえず・・・ (スコア:0)
日本語フロントエンドプロセッサ絡みだからじゃない?
とか想像してみる。
Re:私としましては (スコア:1, おもしろおかしい)
「セキュリティの観点から」だったら、「窓」そのものを捨てた方が良いと思われ。
Re:私としましては (スコア:1, すばらしい洞察)
あげないよー
Re:私としましては (スコア:0)
Re:私としましては (スコア:0)
Re:私としましては (スコア:0)
ですね。お約束。
Re:私としましては (スコア:0)
#ATOK6くらいだったと思う。
Re:私としましては (スコア:0)
げんざん(←なぜか変換できる)
# というオチじゃないよね?
Re:私としましては (スコア:0)
単語登録できればいいじゃん、という問題ではないです。当時は容量も少なかったですから、ほしい単語が登録されてないことはざらでしたし。
Re:私としましては (スコア:1)
「匡体」でしたね。これはJIS第2水準の文字が無かったからこうなったのでしょうか。当時は「JIS第2水準漢字ROM」を実装していないPC/プリンタが大量にあったので、いくつかの仮名漢字変換ツールで「筐」の字を外字登録していました。
>当時は容量も少なかったですから、ほしい単語が登録されてないことはざらでしたし。
そういえば、ATOK6か7くらいのころからラージ辞書なんてものがありましたね。HDDを使える人専用?
私は松茸V2だったのでシステム辞書の登録語を消すこともでき、結構いじってスリム化した覚えがあります。
Re:私としましては (スコア:0)
VJE-Deltaなんか、手元のユーザ辞書の頭の方を見ると
「格上」「過美」「記法」「蹴った」「査読」「商材」「冗舌」
なんかがなくてダメな感じです。
でも登録すれば問題ないから、辞書を育てながら愛用してます。
Re:私としましては (スコア:1)
> 「格上」「過美」「記法」「蹴った」「査読」「商材」「冗舌」
> なんかがなくて
蹴った: VJE-Delta 4.0にありましたよ。
格上: ATOKにはあります。でもMS-IMEにはない。
記法,査読,商材: これがないのはたしかに悲しいな...
過美: ふつう使わない。変換できるIMEあります?
冗舌: ふつう使わない。ATOKでは変換できるけど...
Re:私としましては (スコア:0)
広辞苑には出てますが、古い新明解やウェブの大辞林にはないですね。SKKのL辞書にもありません。
> 冗舌: ふつう使わない。ATOKでは変換できるけど...
これは広辞苑にはないけれど新明解には饒舌の項目に「とも書く」で出てますね。大辞林にはなし。SKKのLでは出ません。
Re:私としましては (スコア:1)
これは「華美」の意味を別字にあてはめた、
ある種の誤字ではないのかな?
Re:私としましては (スコア:0)
Re:私としましては (スコア:1)
IMEの辞書の盗難を防ぐために、
間違いを混入という話が昔あったような・・・
Re:私としましては (スコア:1)
[udon]
Re:私としましては (スコア:0)
DOSしか使ったこと無いやつがWindowsXPを語れるか?