人気ソフト「秀丸エディタ」、プロジェクトファイル処理に脆弱性

ブロードバンドセキュリティ

注目記事

2015.4.2（木）17:25

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERT/CCは2日、Windows向けソフト「秀丸エディタ」に、バッファオーバーフローの脆弱性が存在することを公表した。

　「秀丸エディタ」は、サイトー企画が提供する、Windows向けテキストエディタソフト。Windows 3.1時代から公開されており、20年近い歴史を誇る人気ソフトだ。

　「秀丸エディタ」には、複数ファイルをまとめて登録しておくことができる「プロジェクト」という機能が用意されており、「.hmbook」ファイルとしてデータが保存できる。今回、細工された「.hmbook」ファイルを処理した場合、それに起因して、バッファオーバーフローが発生する脆弱性「JVN#58784309」が発見されたとのこと。特別に細工された.hmbookファイルを「プロジェクトを開く」にて開いた場合、任意のコードが実行できるという。「ファイル」メニューの「開く」では発生しない。

　「JVN#58784309」によると、影響を受けるのは秀丸エディタ Ver8.51（現行の正式公開版の最新バージョン）およびそれ以前。信頼できない.hmbookファイルを開かないこと、または、秀丸エディタをVersion 8.52β9以上（先行開発バージョン）に入れ替えることで対応可能となっている。

《冨岡晶》