ジャストシステムは14日、ワープロソフト「一太郎」の脆弱性を悪用したトロイの木馬が出現したことをうけ、更新モジュールを公開した。この脆弱性は「一太郎」のほか同社の32製品に共通することも判明した。
脆弱性があったのは、ジャストシステム製品で共用されているグラフィック関係の汎用ライブラリJSGCI.DLL(一太郎ビューアはTJSGCI.DLL)。発見されたトロイの木馬は「JSGCI.DLL」に含まれるバッファオーバーフローの脆弱性を狙った文書ファイルで、文書を開くとシステムにバックドアを仕掛ける別のトロイの木馬「lsass.exe」を投下、実行する。シマンテックは細工された文書ファイルを「Trojan.Tarodrop.F」、マカフィーは「Exploit-TaroDrop.d」、トレンドマイクロは「TROJ_TARODROP.AB」として検出する。
複数のセキュリティーベンダーが13日に発見し、フランスのFrSIRT、デンマークのSecuniaともに、当該脆弱性を最高の深刻度で警告(※1)。ジャストシステムは14日、問題を修正する更新モジュールを公開した。
該当するソフトは「一太郎」のほか、「花子」、表計算ソフト「三四郎」、学習用ソフト「ジャストスマイル」など32製品。無料の体験版や一太郎ビューアも含まれる。ジャストシステムのユーザーは、同社HPで確認し、該当する場合は直ちにアップデートすることをお勧めする。
※1)ウイルスベンダーの危険度評価
FrSIRTやSecuniaが最高の危険度で警告しているのとは対照的に、シマンテックやマカフィーは当該ウイルスの危険度を最低と評価している。これは、ウイルスベンダーの評価があくまで、そのウイルス単体が及ぼす影響の総合評価であり、脆弱性の評価とは別物であるため。今回見つかったトロイの木馬は、他のプログラムを投下・実行するだけのドロッパーと呼ばれるタイプで、それ自体は感染力も破壊力も持たない。さらに攻撃対象も非常に限定されており、よほど広範囲にばら撒かれるような現実がない限り、ウイルスとしての危険度は最低ランクとなる。
(2007/12/17 ネットセキュリティニュース)
■ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について(ジャストシステム)
http://www.justsystems.com/jp/info/pd7005.html
■危険な「一太郎」文書ファイルを確認(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/1260
【脆弱性情報(英文)】
・JustSystems Ichitaro "JSGCI.DLL" Library Buffer Overflow Vulnerability(FrSIRT)
http://www.frsirt.com/english/advisories/2007/4213
・JustSystems Ichitaro Document Processing Buffer Overflow(Secunia)
http://secunia.com/advisories/27992/
・Zero-day Vulnerabilities Following the Trailblazers(Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/12/0day_vulns_following_the_trail.html
【ウイルス情報】
・Trojan.Tarodrop.F(シマンテック)
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2007-121308-3953-99
・Exploit-TaroDrop.d(マカフィー)
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-TaroDrop.d
・TROJ_TARODROP.AB(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_TARODROP.AB