ジャストシステムは2日、同社の日本語入力システム「ATOK」に深刻な脆弱性が見つかったとして、アップデートモジュールを公開した。
対象となるのは、Windows版のATOK 2006/2007/2008/2009、ATOK定額制サービス、ジャストスマイル4に含まれるATOKスマイル。ATOK単体の製品のほか、これらが同梱されている「一太郎」やスイート製品の「JUST Suite」なども含まれる。
情報処理推進機構(IPA)などによれば、これら製品には外部アプリケーションの起動制御部分に問題があり、スクリーンロックの制限が回避されてしまう。
スクリーンロックというのは、スクリーンセーバーの「パスワードによる保護」や[Windowsキー]+[L]、[Ctrl]+[Alt]+[Delete]で行う、コンピュータの保護機能のこと。コンピュータをロックすると、デスクトップの状態はそのままに画面の表示が消え、パスワード入力なしでは操作できなくなる。ロックを解除できるのは、ロックしたユーザー自身とシステムの管理者権限を持つユーザーだけなのだが、問題のあるATOKを使用している環境では、特定の操作を行うことによってパスワード入力を回避し、管理者権限で任意のコマンドやプログラムを実行することが可能になる。ググーグルの工藤拓氏が発見し、今年6月にIPA経由で指摘を受けていた。
アップデートモジュールは、同社サイトから無償でダウンロードできるほか、2007以降の製品に搭載されている「JUSTオンラインアップデート」での自動更新も可能。手動で更新する場合には、下記の同社リリースに製品・バージョン別のダウンロード先のリンクがまとめられている。
(2009/09/03 ネットセキュリティニュース)
■ATOKの脆弱性を悪用した不正なプログラムの実行危険性について(ジャストシステム
http://www.justsystems.com/jp/info/js09003.html
■JVN#57040664:ATOK におけるスクリーンロックの制限回避が可能な脆弱性(JVN)
http://jvn.jp/jp/JVN57040664/
■「ATOK」におけるセキュリティ上の弱点(脆弱性)の注意喚起(IPA)
http://www.ipa.go.jp/security/vuln/documents/2009/200909_atok.html