ニュース

「JUSTオンラインアップデート」が不正なモジュールを実行してしまう脆弱性

 株式会社ジャストシステムは11日、同社ソフトウェア製品とともに提供しているオンラインアップデートソフトに脆弱性が見つかったとして、修正バージョンを公開し、ユーザーに対して更新するよう呼び掛けている。

 このソフトは、個人ユーザー向けの「JUSTオンラインアップデート」と、法人ユーザー向けの「JUSTオンラインアップデート for J-License」および「JUSTオンラインアップデート for J-License 管理ツール」。

 ワープロソフト「一太郎」や日本語入力ソフト「ATOK」、統合オフィスソフト「JUST Office」をはじめとしたジャストシステム製品に添付して配布されているもので、それらのソフトのアップデートモジュールを受信して適用する機能を持っている。

 内部処理の不具合により、アップデートモジュールの電子署名が不正だった場合でも、アップデートプログラムを実行するケースがあることが分かった。なお、各ソフト本体の問題ではなく、オンラインアップデートソフト側の問題だとしている。

(永沢 茂)