【緊急】RealPlayerに欠陥

Fri, 06 Feb 2004 00:00:00 +0900

RealPlayerに攻撃者が任意のコードを実行できてしまう恐れのある欠陥が報告されている。すでに改修されたアップデート版がリリースされているので、[ツール]メニューの[アップデートをチェック]から、直ちにアップデートしよう。

【参照】
●ITmedia http://www.itmedia.co.jp/
┣RealOne PlayerやRealPlayerに複数の脆弱性、任意のコード実行のおそれも 2004年2月6日
┗IEのセキュリティパッチで一部のアプリケーションの利用に障害 2004年2月5日
●Real.com http://www.jp.real.com/
┗RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース 2004年2月4日

少し情報を整理する

Fri, 06 Feb 2004 00:00:00 +0900

まずoffice氏本人による経緯の説明はhttp://www.office.ac/tearoom/noframe.cgi?max=1000#No.1616。「不正アクセス行為」に該当するかどうかはまだどちらとも言えない。一方でゼロデイだから「威力業務妨害」という判断はあり得るかも。もちろん本人に妨害する意図があったとは思ってないが結果責任として追わなければならない、と言われれば反論しづらい。

問題のCGIを作りASKACCSをホスティングしていたのはファーストサーバーからは未だ音沙汰なし。サイトを運営していたヨセフアンドレオンは2月4日の「きまぐれコラム」で

ASKACCS「著作権・プライバシー相談室」を閉鎖に追い込んだ憎っくきサイバーテロリスト、「officeこと、河合一穂」がついに逮捕されました！
本日の逮捕にあたっての声明文は、こちらです。

それにしても、私、どうしても納得がいきません。officeは「脆弱性を指摘するためにやった」と言っているみたいですが、社長と面会したときには全然違うことを言っていたし。だいたい「脆弱性を指摘するため」なんて、犯行の動機としてあまりにも脆弱です。そんなことのために一線を越える人なんているわけがありません。きっと、他にもっと切実な動機があったんだと思います。ただ、それを口にすることができないんで、「脆弱性」とか言っているんでしょう。

とにかく、裁判になったら社長も法廷に立つようですから、みんなでお弁当を持って傍聴に行きましょう。

とぶち上げ、

●また、当社といたしましては、今回の事件の犯人がセキュリティの専門家を自任する人物で、その犯行の現場がセキュリティ関係者によるイベントだったという事実を重く受け止めています。
現在、ASKACCSの再開に向けた作業を進めていますが、セキュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方、セキュリティに依存しない情報社会のあり方を模索していかなければならないと考えております。

…等というわけわかんない声明文(googleキャッシュ)を出していたのだが、6日09:54:58頃にサクッと削除した。おやっ？と思ってたら取引先ページからACCSが消えたという事がわかったので、どうやらバッサリ切られた(笑)模様。ACCSにはちゃんと良心があるようで安心した。

2004/03/22追記：ヨセフアンドレオンの「声明 officeこと、河合一穂の逮捕にあたって」http://www.josephandleon.co.jp/seimei.htmlが復活してる！？

【参照】
●ITmedia http://www.itmedia.co.jp/
┗情報漏えいに揺れたACCS、「モラルに沿った脆弱性指摘を」 2004年2月6日
●Tea Room for Conference http://www.office.ac/tearoom/noframe.cgi
┗ACCSのユーザ様、ファーストサーバー森川氏作のcgiをご利用になり情報を入力された全てのユーザ様への謝罪 2003年11月25日
●有限会社ヨセフアンドレオン http://www.josephandleon.co.jp/
┗声明 officeこと、河合一穂の逮捕にあたって 2004/02/04 (googleキャッシュ)
●ACCS不正アクセス京大研究員逮捕事件に関するテンプレ http://www.geocities.jp/officeandaccs/

2004/02/06 on Yano's digital garage

【緊急】RealPlayerに欠陥

少し情報を整理する