今回の脆弱性の概要(情報処理推進機構の情報から引用)
[画像のクリックで拡大表示]
国内のセキュリティ組織である情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2007年10月25日、ジャストシステムのワープロソフト「一太郎」シリーズに3件の脆弱性が見つかったことを明らかにした。細工が施された文書ファイル(.jtd)を開くだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、ジャストシステムが同日公開したアップデートモジュールを適用すること。
脆弱性の影響を受けるのは、以下の製品。いずれの製品にも3件の脆弱性が見つかった。
- 一太郎ビューア
- 一太郎11/12/13
- 一太郎2004/2005/2006
- 一太郎2007/2007体験版
- 一太郎ガバメント2006/2007
- 一太郎文藝
- 一太郎Lite2
- 一太郎 for Linux
3件とも、バッファーオーバーフローと呼ばれる問題を引き起こす脆弱性。細工が施されたデータ(文書ファイル)を読み込むだけでバッファーオーバーフローが発生し、一太郎が不正終了したり、ファイルに仕込まれたウイルスを実行されたりする。
対策は、ジャストシステムが公開するアップデートモジュールを適用すること。同モジュールを適用すれば、3件の脆弱性はすべて解消される。同モジュールは同社のWebサイトからダウンロードできる。
ただし、サポートが終了している一太郎11/12/13/2004のアップデートモジュールは公開されていない。法人ライセンス製品(J-License製品)の一太郎11/12/13/2004のユーザーに対してのみ、問い合わせに応じてアップデートモジュールを提供する。
今回の脆弱性を発見したのは、フォティーンフォティ技術研究所の鵜飼裕司氏。同氏は、ファイル共有ソフト「Winny(ウィニー)」やファイル圧縮ソフト「Lhaplus(ラプラス)」などの脆弱性も見つけている。
