【重要】RevoWorks製品におけるファイル無害化処理の脆弱性について
平素よりRevoWorks製品をご利用いただきありがとうございます。
この度、弊社製品の「RevoWorks SCVX」、「RevoWorks Browser」、および「RevoWorks Desktop」(以降では、RevoWorks製品と称します。)にてご利用頂けるファイル無害化処理に脆弱性が存在することが判明しました。
つきましては、ファイル無害化オプションをご利用のお客様におかれましては、お手数をおかけしますが、下記対策の実施をお願い申し上げます。
脆弱性内容
RevoWorks製品では、クライアント端末のローカル環境から分離した環境(以降では、分離環境と称します。)上でブラウザを実行することで、インターネット上のWeb閲覧時の脅威を防御しております。
分離環境とローカル環境のファイル交換は、原則不可としておりますが、ファイル無害化オプションを導入しポリシー設定をすることで、インターネット上のファイルを分離環境にダウンロードし、ファイル無害化処理を実施した後、ローカル環境に保存できる仕組みを提供しております。
ファイル無害化処理は、第3者ソフトウェアで実施されますが、Microsoft Excel 4.0(XLM)Excel マクロ(以降では、MS Excel V4.0マクロと称します。)の検出および除去ができず、RevoWorks製品に脆弱性が存在します。
当該マクロに悪意あるコードが含まれる場合、ファイルを開くことでマクロが実行され、ローカル環境の情報セキュリティに影響を及ぼす可能性があります。
対象バージョン
RevoWorks SCVX
ファイル無害化ライブラリ1.043以前を利用するSCVX
ファイル無害化ライブラリ1.044以降を利用するSCVX
RevoWorks Browser
2.2.67以前でファイル無害化オプションを利用する場合
2.2.69以降
RevoWorks Desktop
2.1.84以前でファイル無害化オプションを利用する場合
2.1.85以降
対応策
本脆弱性の対策は、各製品のカスタマーサポートサイトを参照ください。
【カスタマーサポートサイト】
●RevoWorks SCVXカスタマーサポートサイト
https://support.jscom.jp/login_top/scvx/
●RevoWorks Browser カスタマーサポートサイト
https://support.jscom.jp/login_top/revoworks/
※ログインには、保守契約ユーザ向けのユーザIDとパスワードが必要です。
RevoWorks Desktopの対策に関しては、弊社営業からのご案内となりますので、担当営業に直接お問い合わせください。