この公開文書は、「http://www.adobe.com/support/security/bulletins/apsb10-23.html*」の抄訳です。

リリース日: 2010 年 10 月 18 日

脆弱性識別番号: APSB10-23

CVE 番号: CVE-2010-2885、CVE-2010-2886

プラットフォーム: Windows

重要度: 重要

概要

Robohelp 8、RoboHelp 7、RoboHelp Server 8、RoboHelp Server 7 において、重要な脆弱性が存在することが確認されました。ある特定の仕組みの URL が用いられると、インストール済み RoboHelp がクロスサイトスクリプティングの攻撃対象となる恐れがあります。弊社では、以下の操作を行い、インストールされた製品のアップデートを行うことを推奨します。

影響を受けるソフトウェアとバージョン

RoboHelp 8、RoboHelp 7、RoboHelp Server 8、RoboHelp Server 7

解決方法

弊社では、以下の操作を行い、インストール済み RoboHelp および RoboHelp Server にアップデートを適用することを推奨します。

APSB10_23_1.zip」ファイルをダウンロードします。この zip ファイルには、以下の 2 つのファイルが含まれています。

  1. wf_status.htm
  2. wf_topicfs.htm

アップデートを適用するには、以下の操作を行います。

  1. 「APSB10_23_1.zip」を解凍します。
  2. 以下のフォルダー内にある「wf_status.htm」および「wf_topicfs.htm」のバックアップを保存します。

    <インストール先フォルダー>/RoboHTML/WildFireExt/TemplateStock
  3. 解凍したファイルを上記フォルダー内のファイルと置き換えます。
  4. flashhelp 出力を再生成します。

RoboHelp for Word を使用して WebHelp/FlashHelp を生成している場合は、以下の手順も行ってください。

APSB10_23_2.zip」ファイルをダウンロードします。この zip ファイルには、以下の 2 つのフォルダーが含まれています。

  1. WebHelp5Ext
  2. WildFireExt

アップデートを適用するには、以下の操作を行います。

  1. 以下のフォルダー内にある「whcsh_home.htm」のバックアップを保存します。

    <RoboHelp for Word のインストール先フォルダー>/RoboHELP/WebHelp5Ext/template_csh
  2. 解凍したファイルを上記フォルダー内のファイルと置き換えます。
  3. 以下のフォルダー内にある「whstart.js」および「whutils.js」のバックアップを保存します。

    <RoboHelp for Word のインストール先フォルダー>/RoboHELP/WebHelp5Ext/template_stock
  4. 解凍したファイルを上記フォルダー内のファイルと置き換えます。
  5. 以下のフォルダー内にある「wf_startpage.js」および「uhutils.js」のバックアップを保存します。

    <RoboHelp for Word のインストール先フォルダー>/RoboHELP/WildFireExtExt/template_stock
  6. 解凍したファイルを上記フォルダー内のファイルと置き換えます。
  7. RoboHelp for Word 出力を再生成し、HTTP サーバーにパブリッシュします。

緊急度

アドビはこの問題を重要な案件と分類し、対象ユーザの皆様が該当製品に最新のアップデートを適用することを推奨します。

詳細

Robohelp 8、RoboHelp 7、RoboHelp Server 8、RoboHelp Server 7 において、重要な脆弱性が存在することが確認されました。ある特定の仕組みの URL が用いられると、インストール済み RoboHelp がクロスサイトスクリプティングの攻撃対象となる恐れがあります。弊社では、上記解決方法の操作を行い、インストールされた製品のアップデートを行うことを推奨します。

このアップデートにより、RoboHelp for Word を使用して WebHelp を生成しているユーザーのクロスサイトスクリプティングの脆弱性が修正されます。(CVE-2010-2885)

このアップデートにより、クロスサイトスクリプティングの脆弱性が修正されます。(CVE-2010-2886)

謝辞

これらの脆弱性を報告し、ユーザのセキュリティ保護にご協力いただいた CU*Answers の David Damstra 氏(CVE-2010-2885)および Jardine Software Inc. の James Jardine 氏(CVE-2010-2886)に対し、アドビより厚く御礼を申し上げます。

免責事項

使用許諾条件

Adobe Systems Incorporatedまたはその子会社(「アドビ」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。

アドビシステムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。

アドビのソフトウェア製品をダウンロードまたは使用することにより、お客様にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。

保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。

有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー