ジャストシステムは25日、ワープロソフト「一太郎」の脆弱性を修正する「セキュリティ更新モジュール」を公開した。
対象となるのは、「一太郎2007」「一太郎ガバメント2007」「一太郎2007体験版」「一太郎2006」「一太郎ガバメント2006」「一太郎2005」「一太郎 文藝」「一太郎2004」「一太郎13」「一太郎12」「一太郎11」「一太郎Lite2」「一太郎 for Linux」「一太郎ビューア」で、同社サイトからダウンロードできる。
フォティーンフォティ技術研究所のアドバイザリによると、リッチテキスト形式(.rtf)のファイル処理に3件の脆弱性があり、細工されたRTFファイルを一太郎で開くとバッファオーバーフローが発生し任意のコードが実行されるおそれがある。RTFファイルは、拡張子を一太郎文書の「.jtd」にすることにより、ブラウザ上から一太郎に処理させることができるため、細工されたファイルが仕掛けられたサイトを閲覧するだけで、システムが破壊されたり乗っ取られる可能性がある。
当該脆弱性は、一太郎やWordの文書を表示する無料の閲覧ソフト「一太郎ビューア」にも影響するので、心当たりのある方は最新版(バージョン5.0.6.0)にアップデートしていただきたい。当該脆弱性はまた、サポートが終了している「一太郎11/12/13」「一太郎2004」にも影響するが、これらのセキュリティ更新モジュールについては提供されない。
(2007/10/26 ネットセキュリティニュース)
■一太郎の脆弱性を悪用した不正なプログラムの実行危険性について(ジャストシステム)
http://www.justsystems.com/jp/info/pd7004.html
■脆弱性情報
・「一太郎シリーズ」における3つのセキュリティ上の弱点(脆弱性)の注意喚起について(IPA)
http://www.ipa.go.jp/security/vuln/200710_Ichitaro.html
・[FFRRA-20071025-1] 一太郎2007 JSTARO4.OCXのリッチテキストファイル処理におけるコピーループのバッファオーバーフロー脆弱性(フォティーンフォティ技術研究所)
http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20071025-1
・[FFRRA-20071025-2] 一太郎2007 JSTARO4.OCXのリッチテキストファイル処理におけるwcscpyバッファオーバーフロー脆弱性(フォティーンフォティ技術研究所)
http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20071025-2
・[FFRRA-20071025-3] 一太郎2007 TJSVDA.DLLのリッチテキストファイル処理におけるinfo-titleバッファオーバーフロー脆弱性(フォティーンフォティ技術研究所)
http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20071025-3