ニュース

「一太郎」シリーズにヒープバッファオーバーフローの脆弱性、アップデートモジュールが提供

 株式会社ジャストシステムは、日本語ワープロソフト「一太郎」シリーズにおいて、ヒープバッファオーバーフローの脆弱性が複数存在することを公表し、これを修正するアップデートモジュールを配布している。

 影響を受けるのは、個人向けに販売されている「一太郎2016」「一太郎2015」と、法人向けの「一太郎Pro 3/2/1」「一太郎Government 8/7/6」「一太郎2011/創」「一太郎2010」「一太郎ガバメント2010」。

 脆弱性は、一太郎(.jtd)、Excel(.xls)、PowerPoint(.ppt)の各ファイルの扱いに起因するもので、CVE番号はそれぞれ「CVE-2017-2789」「CVE-2017-2790」「CVE-2017-2791」。

 悪用を目的に改ざんされた文書ファイルを直接開くと、アプリケーションが強制終了することがあるもの。脆弱性を発見した米Cisco Talos Security Intelligence and Research Groupによれば、攻撃者にリモートから任意のコードを実行される可能性もあるという。

 なお、独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)でも、脆弱性ポータルサイト「JVN」において注意喚起を行っている。