PR

 ジャストシステムは2011年6月16日、ワープロソフト「一太郎」の最新版を含む多くのバージョンに、任意のコードの実行を許す脆弱性が見つかったことを公表した。同社からの情報提供を受けて、IPA(情報処理推進機構)セキュリティセンターとJPCERT/CCも同日、ユーザーに対して警告を呼びかける文書を公開している。

 今回見つかった脆弱性は、細工を施した文書ファイルを開かせることで、任意のプログラムファイルをユーザーのパソコンのローカルディスクに保存させられるというもの。悪用されると、ユーザーがメールに添付された文書ファイルを開いたり、悪意のあるサイトへのリンクをクリックする形でダウンロードした文書ファイルを開いたりすることにより、第三者によって管理者権限を奪われ、パソコンを完全に乗っ取られる危険がある。

 JPCERT/CCによる同脆弱性の分析結果は、インターネット経由の攻撃が可能ということで「攻撃経路」が4段階中最高の「高」、匿名もしくは認証なしで攻撃が可能ということで「認証レベル」も同じく「高」となっている。ただし、実際に攻撃を仕掛けるには専門知識や運の要素がある程度必要ということで「攻撃の難易度」については4段階評価で上から3番目の「低-中」とされている。

 脆弱性の影響を受ける製品は、「一太郎」「一太郎ガバメント」「一太郎ポータブル(oreplug)」「一太郎Pro」「一太郎ビューア」など。一太郎の場合、2005年に発売した「一太郎2005」から最新の「一太郎2011」までの幅広いバージョンが該当する。教職員向けの統合ソフト「ジャストスクール」など一太郎を含むソフトも影響を受ける。

 同脆弱性への攻撃による被害を避けるには、ジャストシステムが配布するアップデートモジュールを適用する必要がある。アップデートモジュールは、半分以上の該当製品向けには既に配布が始まっているが、一太郎の2005から2009までのバージョンや、一太郎ガバメントの2006から2009までのバージョンなど一部の製品向けは6月27日に公開する予定だという。