お知らせ セキュリティ情報 08.01.07 ジャストシステム製品共通のバッファオーバーフロー脆弱性 (update: 2008.1.28)
概要
2007年12月19日、当社製品の多くが共通して使用しているライブラリファイルに脆弱性が確認されました。 この脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。
この問題の影響を受ける製品と、その対策方法、回避策を以下にご案内いたしますので、ご確認の上、ご対応をお願いいたします。
なお、2008年1月7日現在におきまして、本件に起因する実際の被害は確認しておりません。
脆弱性の内容
当社製品の多くは汎用的な処理を行うライブラリファイルを共用しています。 このライブラリに含まれる文書ファイルの読み込み機能に脆弱性が存在するため、 この脆弱性を悪用することを目的に改ざんされた文書ファイルを直接開いたり、 Webサイト上の文書ファイルをプラグインビューアで開いたり、 悪意のあるサイトへのリンクをクリックするなどしてそのサイトに埋め込まれた文書ファイルを意図せず開いてしまった場合、 外部の第三者からインターネット越しに任意のコードが実行される恐れがあります。
脆弱性がもたらす脅威
システム管理者権限でログインして該当製品を利用している場合、 この脆弱性を悪用した攻撃が「成功」すると、 悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。 これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、 システム管理者の権限でコンピュータを任意に操作する可能性があります。
該当製品と対策・回避策
該当製品とそれぞれに対応するセキュリティ更新モジュールや回避策をご案内いたします。 製品ごとの対策方法・回避策の詳細は、各モジュールのダウンロード画面、あるいは、回避策の説明画面でご確認ください。 セキュリティ更新モジュールが提供されている製品については、その導入を強く推奨いたします。 同モジュールは今回発見された脆弱性を修正するもので、 導入することにより、原因となる箇所において不正な動作は発生しなくなります。
- モジュールは、2007年12月14日に公開した脆弱性対応を含みます。
- ビューアは以下に公開されているものが過去の脆弱性対応を含んだ最新のバージョンになります。
該当製品名・バージョン | 対策・回避策 |
---|---|
一太郎2007/2006/2005/2004/13/12/11/10/9 ※ガバメント・文藝・Voice製品、体験版を含む |
|
一太郎Lite2 | |
XMLテンプレートクリエーター/2/3 ※体験版を含む |
|
FormLiner for XML/SGML | |
一太郎9 SGML エクステンション | |
ジャストホーム/i/2/3/4/EX/EX2 ※銘品工房含む |
|
花子2007/2006/2005/2004/13/12/11/10/9 ※花子フォトレタッチ2、体験版を含む |
|
三四郎2007/2005/9 ※体験版を含む |
|
ラベルマイティ/2/3/4/5/6/7/8 ※+[プラス]・LE・JE・セレクト・ゴールドパック・ブルーパック・スターターキット ・小学生版・ビジネス編・プレミアム・わがままシリーズ・ラベルコレクション・ステッカー魂・DIGAを含む |
|
ラベルマイティPOP in Shop/2/3/4/5 | |
楽々はがき 2008/2007/2006/2005/2004/2003/2002/2001/2000 |
|
マイペンシル | |
エプロン/2 | |
フォトペタ! | |
ジャストクレヨン | |
ホームページミックス ※ Teen's・[学校版]を含む |
|
ドクターマウス [英和/和英/国語辞典] ※[知恵蔵2000]、[ビジネス英語辞典]、[パソコン・カタカナ辞典]、小学生パック |
|
セールスマイティ | |
図解マスター | |
ジャストスマイル2/3 @フレンド | |
ジャストスマイル/2/3 ※家庭学習用を含む |
|
一太郎スマイル/2/3 ※学校版、げんきパック、家庭学習用を含む |
|
ジャストジャンプ2/3 @フレンド | |
ジャストジャンプ/2/3 | |
一太郎ジャンプ/2/3 | |
つたわるねっと/3 @フレンド ※Teen'sを含む |
|
はっぴょう名人/2/3 ※Teen's、家庭学習用を含む |
|
ひらめきライター/2/3 | |
かいけつ表グラフ/2/3 | |
地図スタジオ ※JE、小学生版を含む |
|
文字スタジオ/2 | |
研修デザイナー | |
ConceptSearch ExpandFinder |
(追加:2008.01.15) |
Netnote | (更新:2008.01.28) |
Netnote /R.2 | 以下の手順で自動更新をご利用ください (更新:2008.01.28) |
JS文書ビューアプラグイン *1 ※Shuriken 2007/Pro4、ConceptSearch、ExpandFinder に同梱されています ※Shuriken を同梱する MiningAssistant、TRUSTIA なども対象です (追加:2008.01.15) |
|
一太郎 for Linux | |
一太郎ビューア (5.0.7.0以前) *2 | |
花子ビューア (2.0.2.0以前) *2 | |
はっぴょう名人ビューア | |
ConceptBaseなどシステム製品 |
*1一太郎 等で使用する「JS文書ビューア ActiveXプラグイン」とは異なります。
お手元のパソコンに「JS文書ビューアプラグイン」がセットアップされているかどうかの確認は、JS文書ビューアプラグインの確認とダウンロードをご覧下さい。
*2使用しているバージョン番号は、各ビューアの「ヘルプ」メニューから「バージョン情報」を選択して表示される画面でご確認ください。
関連情報
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づきIPA に報告があったものを、JPCERT/CC から連絡いただきました。
更新履歴
2008.01.28 Netnote の対策・回避策を更新しました。
2008.01.15 対象製品に JS文書ビューアプラグイン (*1) を追加しました。
2008.01.08 Netnote の対策・回避策を訂正しました。
2008.01.07 この脆弱性情報ページを公開しました。