独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は2日、有限会社サイトー企画の定番テキストエディタ「秀丸エディタ」におけるバッファオーバーフローの脆弱性を公表した。
影響を受けるバージョンは、秀丸エディタ Ver8.51およびそれ以前。今回確認された脆弱性は、細工された.hmbookファイル(秀丸のプロジェクトファイル)の処理に起因するバッファオーバーフローの脆弱性。これにより、細工された.hmbookファイルを「プロジェクトを開く」にて開いた場合、任意のコードが実行される恐れがある。ただし、通常の「ファイル」メニューの「開く」でファイルを開いた場合は問題が起きない。
サイトー企画では、信頼できない.hmbookファイルは開かないよう注意する、もしくは秀丸エディタをVersion 8.52β9以降に入れ替えるという対策を推奨している。
|
メニュー編集内にある「プロジェクトを開く」項目は、初期状態ではオフになっている |
