ジャストシステム「一太郎」に複数の脆弱性

ジャストシステムが提供する「一太郎」シリーズに複数の脆弱性があることがわかりました。エクセルファイルにて悪意のあるコードを実行される恐れがあるとのことです。

【概要】

脆弱性の悪用を目的に改ざんされた文書ファイル(エクセル等)を直接開いた場合、アプリケーションが強制終了することがあります。
•.jtd 形式ファイルの扱いに起因するヒープバッファオーバーフロー (CWE-122) - CVE-2017-2789
•.xls 形式ファイルの扱いに起因するヒープバッファオーバーフロー (CWE-122) - CVE-2017-2790
•.ppt 形式ファイルの扱いに起因するヒープバッファオーバーフロー (CWE-122) - CVE-2017-2791

【対策】

それぞれの製品に対応するアップデートモジュールを使用することで対策可能です。

【影響を受ける製品】

一太郎2016
一太郎2015
一太郎Pro 3
一太郎Pro 2
一太郎Pro
一太郎Government 8
一太郎Government 7
一太郎Government 6
一太郎2011 創
一太郎2011
一太郎2010
一太郎ガバメント2010

※「一太郎ビューア」を除く

尚、ジャストシステムによると製品ごとの対策方法と回避策の詳細は、更新モジュールのダウンロード画面、あるいは回避策の説明画面でご確認くださいとしたうえで、アップデートモジュールの導入にかかわらず、身に覚えのない電子メールに添付されている一太郎の文書ファイル、 並びに信頼性が保証されていないWebサイトなどの、出所不明な一太郎の文書ファイルは開かないよう、ご注意ください、とのことです。


詳細;ジャストシステム

今回は「一太郎」というワープロソフトの脆弱性のお話でした。まだ実際の不具合は報告されていないとのことですがこうしたサードパーティー製のアプリケーションの脆弱性を突いて攻撃してくる事案がとても増えています。特に脆弱性が発見されてからメーカーが対応するまでの時間を突いての攻撃をゼロディ攻撃と呼び、このわずかな時間で攻撃者はサイバー攻撃を試みますが、アップデートがあ行われても、ユーザーが全員が対応できるまでには時間を有するため、しばらくは同じ攻撃に注意が必要です。

<