ジャストシステム製品共通のバッファオーバーフロー脆弱性
更新日:2008年 1月15日
公開日:2008年 1月 7日
概要
2007年12月19日、当社製品の多くが共通して使用しているライブラリファイルに脆弱性が確認されました。
この脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。
この問題の影響を受ける製品と、その対策方法、回避策を以下にご案内いたしますので、ご確認の上、ご対応をお願いいたします。
なお、2008年1月7日現在におきまして、本件に起因する実際の被害は確認しておりません。
脆弱性の内容
当社製品の多くは汎用的な処理を行うライブラリファイルを共用しています。 このライブラリに含まれる文書ファイルの読み込み機能に脆弱性が存在するため、 この脆弱性を悪用することを目的に改ざんされた文書ファイルを直接開いたり、 Webサイト上の文書ファイルをプラグインビューアで開いたり、 悪意のあるサイトへのリンクをクリックするなどしてそのサイトに埋め込まれた文書ファイルを意図せず開いてしまった場合、 外部の第三者からインターネット越しに任意のコードが実行される恐れがあります。
脆弱性がもたらす脅威
システム管理者権限でログインして該当製品を利用している場合、 この脆弱性を悪用した攻撃が「成功」すると、 悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。 これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、 システム管理者の権限でコンピュータを任意に操作する可能性があります。
該当製品と対策・回避策
該当製品とそれぞれに対応するセキュリティ更新モジュールや回避策をご案内いたします。 製品ごとの対策方法・回避策の詳細は、各モジュールのダウンロード画面、あるいは、回避策の説明画面でご確認ください。 セキュリティ更新モジュールが提供されている製品については、その導入を強く推奨いたします。 同モジュールは今回発見された脆弱性を修正するもので、 導入することにより、原因となる箇所において不正な動作は発生しなくなります。
- ※
- モジュールは、2007年12月14日に公開した脆弱性対応を含みます。
- ※
- ビューアは以下に公開されているものが過去の脆弱性対応を含んだ最新のバージョンになります。
| 対象製品名・バージョン | 対策・回避策 |
|---|---|
| 一太郎2007/2006/2005/2004/13/12/11/10/9 ※ガバメント・文藝・Voice製品、体験版を含む |
JS共通セキュリティ更新モジュールのダウンロード |
| 一太郎Lite2 | |
| XMLテンプレートクリエーター/2/3 ※体験版を含む |
|
| FormLiner for XML/SGML | |
| 一太郎9 SGML エクステンション | |
| ジャストホーム/i/2/3/4/EX/EX2 ※銘品工房含む |
|
| 花子2007/2006/2005/2004/13/12/11/10/9 ※花子フォトレタッチ2、体験版を含む |
|
| 三四郎2007/2005/9 ※体験版を含む | |
ラベルマイティ/2/3/4/5/6/7/8
|
|
| ラベルマイティPOP in Shop/2/3/4/5 | |
| 楽々はがき2008/2007/2006/2005/2004/2003/2002/2001/2000 | |
| マイペンシル | |
| エプロン/2 | |
| フォトペタ! | |
| ジャストクレヨン | |
| ホームページミックス ※ Teen's・[学校版]を含む | |
ドクターマウス [英和/和英/国語辞典]
|
|
| セールスマイティ | |
| 図解マスター | |
| ジャストスマイル2/3 @フレンド | |
| ジャストスマイル/2/3 ※家庭学習用を含む |
|
| 一太郎スマイル/2/3 ※学校版、げんきパック、家庭学習用を含む |
|
| ジャストジャンプ2/3 @フレンド | |
| ジャストジャンプ/2/3 | |
| 一太郎ジャンプ/2/3 | |
| つたわるねっと/3 @フレンド ※Teen'sを含む | |
| はっぴょう名人/2/3 ※Teen's、家庭学習用を含む | |
| ひらめきライター/2/3 | |
| かいけつ表グラフ/2/3 | |
| 地図スタジオ ※JE、小学生版を含む | |
| 文字スタジオ/2 | |
| 研修デザイナー | |
| ConceptSearch | ・JS共通セキュリティ更新モジュールのダウンロード ・JS文書ビューアプラグインの確認とダウンロード (追加:2008.01.15) |
| ExpandFinder | |
| Netnote | 対応モジュールを準備中(訂正:2008.01.08) |
JS文書ビューアプラグイン *1 (追加:2008.01.15)
|
JS文書ビューアプラグインの確認とダウンロード |
| 一太郎 for Linux | 一太郎 for Linuxアップデートモジュールのダウンロード |
| 一太郎ビューア (5.0.7.0以前) *2 | 一太郎ビューアのダウンロード |
| 花子ビューア (2.0.2.0以前) *2 | 花子ビューアのダウンロード |
| はっぴょう名人ビューア | はっぴょう名人ビューアのダウンロード |
| ConceptBaseなどシステム製品 | 詳細はこちら |
- *1
- 一太郎 等で使用する「JS文書ビューア ActiveXプラグイン」とは異なります。 お手元のパソコンに「JS文書ビューアプラグイン」がセットアップされているかどうかの確認は、 JS文書ビューアプラグインの確認とダウンロードをご覧下さい。
- *2
- 使用しているバージョン番号は、各ビューアの「ヘルプ」メニューから「バージョン情報」を選択して表示される画面でご確認ください。
関連情報
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づきIPA に報告があったものを、JPCERT/CC から連絡いただきました。
JVNの開示情報はこちら »
更新履歴
- 2008.01.15
- 対象製品に JS文書ビューアプラグイン (*1) を追加しました。
- 2008.01.08
- Netnote の対策・回避策を訂正しました。
- 2008.01.07
- この脆弱性情報ページを公開しました。
連絡先
本脆弱性情報に関するご質問は以下の窓口にてお問い合わせを承っております。
個人のお客様
ジャストシステム サポートセンター
- 電話番号
- 東京: 03-5412-3980
大阪: 06-6886-7160
- ※
- 上記の番号がご利用いただけない場合は、以下の番号をご利用ください。
東京: 03-5412-8209
- ※
- 営業時間:月〜金曜日 10:00〜19:00、土・日・祝日 10:00〜17:00
(弊社特別休業日を除きます) - ※
- お問い合わせの際は、製品のシリアルナンバーをご用意ください。
法人のお客様
ライセンス製品をご利用の方はこちらの窓口をご利用ください »
システム製品をご利用の方はこちらのページもご覧ください »
以上
update : 2008.01.15