一太郎 for LinuxやConceptBaseなどにも

多数のジャストシステム製品に脆弱性、修正モジュール公開

2008/01/07

 ジャストシステムは1月7日、ワープロソフト「一太郎」や「花子」をはじめとする同社の多数の製品に脆弱性が存在することを明らかにし、修正用セキュリティ更新モジュールを公開した。悪用されれば、第三者により任意のコードが実行される可能性もあるため、早期の適用が推奨される。

 脆弱性を発見したフォティーンフォティ技術研究所の情報によると、多くのジャストシステム製品に含まれる基本クラスライブラリ「JSFC.DLL」に脆弱性が発見された。バッファオーバーフローなどの結果、関数ポインタが上書きされ、「安定的に」任意のコードが実行される恐れがあるという。

 具体的には、細工が施されたjtd形式などの文書ファイルを直接開くことで悪用される恐れがある。また、Webサイト上に置かれた悪意ある文書ファイルをプラグインビューアで開いたり、リンクをクリックして意図せず埋め込まれた文書ファイルを開いたりする際に、インターネット越しに悪用される可能性もある。もし攻撃が成功すれば、ウイルスやボットといった不正プログラムをインストールされたり、データの変更・削除といった操作を行われたりする恐れがあるという。

 脆弱性の発見者である鵜飼裕司氏によると、今回の脆弱性の特徴の1つは、複数のジャストシステム製品で使われている共有ライブラリに存在するため、影響範囲が多岐にわたることだ。また、比較的「初心者」でも安定性の高い攻撃コード(Exploit)を作成できると考えられるほか、既存のシェルコードを簡単に転用できるため、容易に攻撃に転用できる点に注意が必要という。

 影響が及ぶ製品は、一太郎や花子のほか「一太郎ビューア」「三四郎」「ラベルマイティ」など30種類以上。Windows版だけでなく「一太郎 for Linux」にも影響がある。さらに、企業向け文書検索システム「ConceptBase」に含まれる「JS文書ビューアプラグイン」にも脆弱性が存在するという。

 なおジャストシステムでは、2007年12月14日に、同じく一太郎シリーズなど広範な製品に存在する脆弱性を解消する修正プログラムを公開している。今回リリースされたモジュールは、その内容も含んでいるという。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH