お知らせ セキュリティ情報 09.09.02 [JS09003]ATOKの脆弱性を悪用した不正なプログラムの
実行危険性について

概要

2009年6月12日、IPAより弊社の一部製品に脆弱性が存在する旨の連絡を受けました。
調査の結果、指摘の脆弱性が存在することを確認しました。
この脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。
弊社ではこの問題の調査と対策の作成を完了し、これを修正するモジュールを公開いたします。
なお、2009年9月2日現在、本件に起因する実際の被害は確認しておりません。

脆弱性の内容

今回の脆弱性は該当製品の外部アプリケーション起動の制御部分に存在しています。 この脆弱性を悪用することで、いくつかの手順を実行後、 システム管理者権限でコマンドを実行できるようになります。

脆弱性がもたらす脅威

この脆弱性を悪用した攻撃が「成功」すると、 悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。 これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、 システム管理者の権限でコンピュータを任意に操作する可能性があります。

該当製品と対策・回避策

該当製品とそれぞれに対応するセキュリティ更新モジュール、アップデートモジュールをご案内いたします。 製品ごとの対策方法・回避策の詳細は、各モジュールのダウンロード画面、 あるいは、回避策の説明画面でご確認ください。
これらのモジュールが提供されている製品については、その導入を強く推奨いたします。 各モジュールは今回発見された脆弱性を修正するもので、導入することにより、 原因となる箇所において不正な動作は発生しなくなります。

  • 上記製品を搭載した一太郎シリーズ、JUST Suiteシリーズ等を含みます。

関連情報

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づきIPA に報告があったものを、JPCERT/CC から連絡をいただきました。