ジャストシステム http://www.justsystems.com/jp/info/js14002.html
> ジャストシステム商品に添付のオンラインアップデート機能の脆弱性対策
"2014年 6月11日"付け。
ディジタル署名の拇印は、"86 db 84 8a 31 ac 72 a1 a0 46 80 21 fc c4 3f ac c2 43 3e 10" 。
前回 と同じです。( 2014/06/30 まで有効。 )
ディジタル署名失効 (更新) 間際の絶妙のタイミングかもしれません。
ポータブルのサブマシンで JUSTオンラインアップデート を実行すると、以下ファイルが残りました。
%USERPROFILE%\AppData\Local\Justsystem\JustOnlineUpdate\Downloaded Files\olup2up1.exe
この exe ファイルの プロパティ で、ディジタル署名を確認出来ます。
※ exe ファイルはアップデート後に、消えてしまう場合もあります。
と云う事で、業務マシンにはこれでインストールします。
脆弱性情報のページ からは、ダウンロードサイトへの案内がないようです。
(図5)
JUSTオンラインアップデートのアップデートの図。
( 画像サイズ 21.27 KB )
(図6)
JUSTオンラインアップデート 2.0.1.0 アップデート完了の図。
( 画像サイズ 14.7 KB )
(図7)
olup2up1.exe のプロパティ。
( 画像サイズ 84.96 KB )
(図8)
JUSTオンラインアップデートのアップデートの図。 (手動実行)
( 画像サイズ 52.45 KB )
(図9)
JUSTオンラインアップデート 2.0.1.0 アップデート完了の図。(手動実行)
( 画像サイズ 33.97 KB )
(関連)
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20140611_652939.html
> 「JUSTオンラインアップデート」が不正なモジュールを実行してしまう脆弱性 -INTERNET Watch
JPCERT/CC and IPA http://jvn.jp/jp/JVN50129191/index.html
> JVN#50129191: 複数のジャストシステム製品同梱のオンラインアップデートプログラムに任意のコード実行可能な脆弱性
※ CVE-2014-2003 みたいです。
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20131127/1385550028
※ [042762]ATOK郵便番号辞書・7桁郵便番号簿の最新版ダウンロード(平成25年10月31日更新版)
http://d.hatena.ne.jp/TsuSUZUKI/20120530/1338366882
※ JUSTオンラインアップデートのアップデート 1.6.1.0
(追記)
直リンク:
ジャストシステム https://gate.justsystems.com/download/jsupdate/up/win/olup2up1.exe
いじょうです。
-
- -
