ジャストシステムは7日、同社の複数製品が共用する汎用ライブラリにバッファオーバーフローの脆弱性が見つかったとして更新モジュールを発表した。同社では、昨年12月にも複数製品が共有するグラフィック汎用ライブラリ「JSGCI.DLL」に脆弱性が見つかり、更新モジュールを発表したばかり。
新たに問題が見つかったのは、ジャストシステム製品の多くで共用されているライブラリ「JSFC.DLL」(ジャストシステム基本クラスライブラリ)。脆弱性を発見したフォティーンフォティ技術研究所(FFR社)によると、バッファオーバーフローにより関数ポインタが上書きされ、細工された文書ファイル(jtdファイルなど)を開いたり、細工された文書ファイルが置かれたサイトをブラウザで閲覧すると、任意のコードを実行させることができるという。
IPA(情報処理推進機構)も7日、当該脆弱性に関する注意喚起を公表している。IPAは昨年12月17日にFFR社より同脆弱性の報告を受け、JPCERT/CC(JPCERTコーディネーションセンター)を通じて製品開発者と調整を行い、公表に至ったという。
ウイルスベンダーの危険度評価は、フランスのFrSIRTは最高の危険度、デンマークのSecuniaは上から2番目の危険度で警告している。
該当するソフトは「一太郎」や「花子」など40製品にのぼり、無料の体験版や一太郎ビューアも含まれる。ジャストシステムのユーザーは、同社HPで確認し、該当する場合はただちにアップデートすることをお勧めする。
(2008/01/08 ネットセキュリティニュース)
■ジャストシステム製品共通のバッファオーバーフロー脆弱性(ジャストシステム)
http://www.justsystems.com/jp/info/pd8001.html
■複数のジャストシステム製品おけるセキュリティ上の弱点(脆弱性)の注意喚起について(IPA)
http://www.ipa.go.jp/security/vuln/documents/2008/200801_JustSystem.html
■JVN#08237857 複数のジャストシステム製品におけるバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/jp/JVN%2308237857/
■JPCERT/CC
http://www.jpcert.or.jp/
■[FFRRA-20080107] ジャストシステム基本クラスライブラリにおけるバッファオーバーフロー脆弱性(FFR社)
http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20080107
【脆弱性情報(英文)】
・JustSystem Products JSFC.DLL Buffer Overflow Vulnerability(Secunia)
http://secunia.com/advisories/28275/
・JustSystems Products "JSFC.DLL" Client-Side Buffer Overflow Vulnerability(FrSIRT)
http://www.frsirt.com/english/advisories/2008/0045