ジャストシステムは18日、「一太郎2006」において任意のコードを実行される脆弱性が確認されたとして、セキュリティ更新モジュールを同社サイトで公開した。「一太郎2006」「一太郎2006 体験版」「一太郎ガバメント2006」が対象。
この脆弱性は、悪意の第三者により不正に改竄された一太郎文書を読み込むことで任意のコードを実行され、PCが不正に操作される危険性があるというもの。今回公開されたセキュリティ更新モジュールを導入することで、不正に改竄されたファイルを開いても不正な動作は発生しなくなるとしている。
一太郎については8月と9月に、ウイルスによる“ゼロデイ”攻撃により未知の脆弱性が2件見つかり、ジャストシステムがセキュリティ更新モジュールを提供することで対応していた。
一方、今回公表された脆弱性は、セキュリティベンダーの専門家から8月30日に独立行政法人情報処理推進機構(IPA)に届出があり、有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)がジャストシステムと調整を行なった上で公表されたかたちになる。IPAとJPCERT/CCが運営する脆弱性情報サイト「JVN」でも10月18日付で情報を公開している。ジャストシステムによれば、今のところこの脆弱性を狙ったウイルスも発見されていないという。
【追記 19:20】
なお、公開当初に配布していたセキュリティ更新モジュール「t16sup.exe」に不具合があることがわかり、ジャストシステムでは追って修正版となる「t16sup2.exe」を公開。修正前のモジュールを導入したユーザーに対しては、修正版をあらためて導入するよう呼びかけている。
この不具合は、文書マクロが2個以上登録されている文書ファイルを開いた場合、エラーメッセージが表示されて読み込めなかったり、マクロが正常に動作ない現象が起こるというもの。不具合のあった「t16sup.exe」は18日12時に公開されたが、その後、不具合が判明。しばらくの間モジュールの公開が中断された後、18時30分より修正版の「t16sup2.exe」を配布している。
関連情報
■URL
ニュースリリース
http://www.justsystem.co.jp/info/pd6004.html?w=hmidxif
「一太郎2006 セキュリティ更新モジュール」ダウンロードサイト
http://www3.justsystem.co.jp/download/ichitaro/up/win/061018.html
JVNの脆弱性情報
http://jvn.jp/jp/JVN%2390815371/index.html
■関連記事
・ 「一太郎」の未知の脆弱性を悪用するウイルスが出現、シマンテックが警告(2006/08/17)
・ 「一太郎」の脆弱性を悪用するウイルスメール、中央省庁に送信(2006/08/21)
・ シマンテック、「一太郎」の未知の脆弱性を狙うトロイの木馬を再び警告(2006/09/28)
( 永沢 茂 )
2006/10/18 14:30
- ページの先頭へ-
|