SXF共通ライブラリVer3.30が公開されてしばらくたちましたが、
すでに新しいバージョンに更新していただけましたでしょうか?
Ver3.30はすべてのSXF共通ライブラリを利用して開発している方に
更新をお願いしています。
なぜなら、今回のバージョンアップは脆弱性に対応した重要な更新と
なっているためです。
そもそも脆弱性とはどういう事でしょうか?
「脆弱」を辞書で調べてみると、「もろくて弱いこと。また、そのさま。」
とあります。
しかし、今回指摘された脆弱性とは、共通ライブラリ自体が「もろくて
弱いのですぐに止まってしまう」と言う意味ではありません。
ソフトウエアの世界で脆弱性とは主に、実装に欠陥があったり、設計上の
仕様に問題があるため安全に使用すことができない状態を指します。
つまり共通ライブラリには、欠陥を利用すればセキュリティ上攻撃できる
「もろい箇所」が見つかったという事です。
何故、「もろい箇所」が入りこんでしまっていたのか?ですが、
共通ライブラリの大部分はMFCで作成されていますが、一部はC言語も
使用しています。
C言語は何度か仕様改定も行われており、最新の規格では脆弱性対応も
強化されています。
ただ、初期の古いC言語の仕様ではセキュリティの甘い関数がいくつか
ありました。
今回指摘を受けた脆弱性も、このセキュリティの甘い関数を使用して
いる箇所で発生していました。
現在公開中のVer3.30ではセキュリティ強化された新しい関数にすべて
書き換える事で脆弱性が発生しないように対応してあります。
もし、脆弱性を放置して古い共通ライブラリを使い続けるとどうなる
のでしょうか?
実はCADのデータ交換目的で使う人しかいない分には問題が起こることは
ありません。
では、なぜ急いで更新する事をお願いしているのかというと
悪意を持った者に攻撃を企てられると重大な危機につながる可能性が
あるためです。
今回指摘された脆弱性は「バッファオーバーフロー」と呼ばれるもので、
危険度は高めで「中の上」ぐらいに分類されています。
この脆弱性を狙って攻撃を受けると任意のコードを実行されてしまう
可能性があるとの事です。
具体的にどういう事かと言うと、攻撃者はまずsfc・p21ファイルを悪意を
持って改造し任意のコードを埋め込みます。
それを共通ライブラリを使用しているCADに読み込ませる事でPCに
バックドアを仕掛けるなど深刻な問題に発展する可能性があるとの事です。
Ver3.30はこのような改造ファイルを読込んでも任意のコードが実行
されることはありません。
ご迷惑をおかけしますが、共通ライブラリを利用して開発している方は、
対策済み最新バージョンへ更新し、ソフトウェアご利用のユーザー様への
提供をお願いします。
すでに新しいバージョンに更新していただけましたでしょうか?
Ver3.30はすべてのSXF共通ライブラリを利用して開発している方に
更新をお願いしています。
なぜなら、今回のバージョンアップは脆弱性に対応した重要な更新と
なっているためです。
そもそも脆弱性とはどういう事でしょうか?
「脆弱」を辞書で調べてみると、「もろくて弱いこと。また、そのさま。」
とあります。
しかし、今回指摘された脆弱性とは、共通ライブラリ自体が「もろくて
弱いのですぐに止まってしまう」と言う意味ではありません。
ソフトウエアの世界で脆弱性とは主に、実装に欠陥があったり、設計上の
仕様に問題があるため安全に使用すことができない状態を指します。
つまり共通ライブラリには、欠陥を利用すればセキュリティ上攻撃できる
「もろい箇所」が見つかったという事です。
何故、「もろい箇所」が入りこんでしまっていたのか?ですが、
共通ライブラリの大部分はMFCで作成されていますが、一部はC言語も
使用しています。
C言語は何度か仕様改定も行われており、最新の規格では脆弱性対応も
強化されています。
ただ、初期の古いC言語の仕様ではセキュリティの甘い関数がいくつか
ありました。
今回指摘を受けた脆弱性も、このセキュリティの甘い関数を使用して
いる箇所で発生していました。
現在公開中のVer3.30ではセキュリティ強化された新しい関数にすべて
書き換える事で脆弱性が発生しないように対応してあります。
もし、脆弱性を放置して古い共通ライブラリを使い続けるとどうなる
のでしょうか?
実はCADのデータ交換目的で使う人しかいない分には問題が起こることは
ありません。
では、なぜ急いで更新する事をお願いしているのかというと
悪意を持った者に攻撃を企てられると重大な危機につながる可能性が
あるためです。
今回指摘された脆弱性は「バッファオーバーフロー」と呼ばれるもので、
危険度は高めで「中の上」ぐらいに分類されています。
この脆弱性を狙って攻撃を受けると任意のコードを実行されてしまう
可能性があるとの事です。
具体的にどういう事かと言うと、攻撃者はまずsfc・p21ファイルを悪意を
持って改造し任意のコードを埋め込みます。
それを共通ライブラリを使用しているCADに読み込ませる事でPCに
バックドアを仕掛けるなど深刻な問題に発展する可能性があるとの事です。
Ver3.30はこのような改造ファイルを読込んでも任意のコードが実行
されることはありません。
ご迷惑をおかけしますが、共通ライブラリを利用して開発している方は、
対策済み最新バージョンへ更新し、ソフトウェアご利用のユーザー様への
提供をお願いします。
※コメント投稿者のブログIDはブログ作成者のみに通知されます