ジャストシステムは23日、ワープロソフト「一太郎シリーズ」に脆弱性が見つかったとして、問題を修正するためのアップデートモジュールを公開した。発見者のブログによると、任意のコードが実行できることを実証したとしており、早急にアップデートモジュールを適用するようおすすめする。
一太郎は、自治体や学校などの公的機関でよく使われているワープロソフトだ。脆弱性の影響を受けるのは、以下の単体製品と、これらを含む統合製品、Suite製品、パック製品であり、無料配布の閲覧ソフト「一太郎ビューア」は今回の脆弱性の影響を受けない。
<個人向け>
・一太郎2016/2015
<法人向け>
・一太郎Pro 3/Pro 2/Pro
・一太郎Government 8/7/6
・一太郎2011 創/2011/2010
・一太郎ガバメント2010
<体験版>
・一太郎Pro 3 体験版
ジャストシステムの告知によれば、この脆弱性が悪用されると一太郎が強制終了することがあるという。詳細が不明なので、発見者であるCisco Talosセキュリティインテリジェンス&リサーチグループのブログなどを調べたところ、一太郎ファイル、Excelファイル、PowerPointファイルの処理でバッファオーバーフローが発生し、任意のコードが実行されるおそれがあるという。同グループでは、実際に電卓を起動するデモで脆弱性を実証したとしており、その通りなら早急にアップデートの必要がある深刻な問題だ。
メモリーがらみの問題は、アプリが勝手に終了してしまうだけで済む軽微なものもあれば、任意のコードが実行されるおそれのある危険なものもある。前者は「サービス拒否の脆弱性」と呼ばれ、私たちが利用する単独のアプリでは大した弊害がないのに対し、後者は「コード実行の脆弱性」と呼ばれ、マルウェア(ウイルス)感染につながる深刻な事態を引き起こす。これまでのところ、脆弱性を悪用した攻撃は確認されていないそうだが、コード実行の脆弱性であれば悪用される可能性があり、細工されたファイルを開くとパソコンを乗っ取られてしまうことになるかもしれない。該当製品をお使いの方は、早急にアップデートモジュールを適用するようおすすめする。
脆弱性を修正するアップデートモジュールは、同社サイトからダウンロードできるほか、「JUSTオンラインアップデート」機能でも入手できる。体験版については、一度アンインストールし、最新版をダウンロードすることで脆弱性の影響を受けなくなる。
(2017/02/28 ネットセキュリティニュース)
【関連URL】
・[JS17001]「一太郎」を安心してお使いいただくために(ジャストシステム)
https://www.justsystems.com/jp/info/js17001.html
Vulnerability Spotlight: Multiple Ichitaro Office Vulnerabilities(Cisco Talos)
・一太郎シリーズにバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/vu/JVNVU98045645/
・Vulnerability Spotlight: Multiple Ichitaro Office Vulnerabilities(Cisco Talos Intelligence Group Blog)
http://blog.talosintelligence.com/2017/02/vulnerabilities-ichitaro.html