JPCERTコーディネーション(JPCERT/CC)と情報処理推進機構(IPA)は10月18日,ジャストシステムのワープロソフト「一太郎2006」などにセキュリティ・ホールが見つかったことを明らかにした。細工が施された文書ファイルを開いて特定の操作をおこなうと,ファイルに仕込まれた悪質なプログラムを実行される恐れがある。対策は,同社が公開する修正パッチ(セキュリティ更新モジュール)を適用すること。
今回,「一太郎2006」「一太郎2006 体験版」「一太郎ガバメント2006」にバッファ・オーバーフローのセキュリティ・ホールが見つかった。細工が施された文書ファイルを読み込んで特定の操作をおこなうと,ファイルに仕込まれた任意のプログラムを実行されたり,一太郎を不正終了されたりする可能性がある。
対策は,ジャストシステムが10月18日に公開した修正パッチを適用すること。同パッチには,8月17日および9月28日に明らかにされたセキュリティ・ホールを修正するパッチも含まれる(関連記事1,関連記事2)。
8月17日および9月28日に明らかにセキュリティ・ホールについては,修正パッチがリリースされる前に,それらを悪用するファイル(ウイルス)が出現した。いわゆるゼロデイ攻撃である。ゼロデイ攻撃によって,セキュリティ・ホールの存在が明らかになった。
しかし今回のセキュリティ・ホールについては,攻撃(ウイルス)が出現する前にパッチがリリースされた。ジャストシステムによれば,現時点では,今回のセキュリティ・ホールを悪用するウイルスは見つかっていないという。
今回のセキュリティ・ホールを発見したのはラックの新井悠氏。「情報セキュリティ早期警戒パートナーシップ」に基づいて新井氏からIPAへ報告され,JPCERT/CCがジャストシステムとの調整をおこなった(「早期警戒パートナーシップ」に関する記事)。
・JVN(JP Vendor Status Notes)の情報
・IPAの情報
・ジャストシステムの情報