ワープロソフト「一太郎」シリーズに、悪用されると任意のコードが実行される脆弱性が見つかったとして、7日、ジャストシステムは該当する脆弱性を修正するセキュリティ更新モジュールを公開した。7日現在、実際の被害は確認されていないという。
ジャストシステムによると、脆弱性は一太郎の文書情報の処理部分に存在し、改ざんされた文書ファイルを直接開いたり、Webサイトの文書ファイルをプラグインビューアで開いたり、悪意のあるサイトへのリンクをクリックするなどして当該サイトに埋め込まれた文書ファイルを意図せず開いてしまった場合、コード実行のおそれがある。攻撃が成功すると、攻撃者にコンピューターを完全に制御される可能性がある。
対象となる製品は、一太郎2009/2008/2007/2006/2005/2004、一太郎ガバメント2009/2008/2007/2006、一太郎2009体験版、一太郎文藝、一太郎13、一太郎ビューア2009 (19.0.1.0) 、一太郎ビューア(全バージョン)。
同社は各モジュールによるアップデートを強く勧めるとともに、身に覚えのない電子メールに添付されている一太郎文書ファイルや信頼性の保証されていないWebサイトにある出処不明の文書ファイルを開かないよう、注意を呼びかけている。
当該脆弱性は、IPAが2月12日に情報セキュリティ早期警戒パートナーシップに基づいた届出を受け、3月4日にJPCERT/CCが同社に報告。調整のうえ、7日に公表された。
(2009/04/08 ネットセキュリティニュース)
■一太郎の脆弱性を悪用した不正なプログラムの実行危険性について(ジャストシステム)
http://www.justsystems.com/jp/info/js09002.html
■「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起(IPA)
http://www.ipa.go.jp/security/vuln/documents/2009/200904_ichitaro.html
■一太郎シリーズにおけるバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/jp/JVN33846134/index.html
■ [FFRRA-20090407] 一太郎におけるバッファオーバーフロー脆弱性(フォティーンフォティ技術研究所)http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20090407