「一太郎」の脆弱性修正モジュール、旧バージョン用も公開


 ジャストシステムは15日、ワープロソフト「一太郎」に脆弱性が確認されていた件で、旧バージョン用のアップデートモジュールの提供を開始した。脆弱性を悪用されると任意のコードが実行されてPCが不正に操作される危険性があるとして、アップデートモジュールの導入を強く推奨している。

 ジャストシステムでは12日、一太郎2010/2009および一太郎ガバメント2009用のアップデートモジュールを公開。脆弱性の影響を受ける一太郎2008/2007/2006および一太郎ガバメント2008/2007/2006の6製品向けのアップデートモジュールについては未対応だったが、15日に公開したかたちだ。一太郎2010体験版も14日、脆弱性を修正した最新版を公開した。

 脆弱性は、フォント情報の処理部分に存在するもので、4月7日に見つかっていた。これを悪用する文書ファイルを一太郎で直接開いたり、Webサイト上に埋め込まれた文書ファイルを開いてしまった場合、悪意あるプログラムをローカルディスクに保存しようとするという。攻撃が成功すると、攻撃者によってPCを完全に制御される可能性がある。

 なお、トレンドマイクロでは13日、今回の脆弱性を悪用したゼロデイ攻撃を確認したと発表。同社のセキュリティ製品では、トロイの木馬型不正プログラム「TROJ_TARODROP.AV」として検出している。

 「TROJ_TARODROP.AV」はさらに、バックドア型不正プログラム「BKDR_AHNSY.A」を作成。他のサーバーからの指示により、1)情報の送受信、2)プロセスの追加や表示、強制終了、3)不正なファイルのダウンロードおよび実行――を行うとしている。


関連情報

(増田 覚)

2010/4/15 16:03