※最新情報は、JVN iPedia(JVN#50129191)をご覧ください。
概要
複数のジャストシステム製品に同梱されている「JUSTオンラインアップデート」および「JUSTオンラインアップデート for J-License」および管理ツールには、内部処理に問題があり、アップデートモジュールの電子署名が不正であった場合でも、アップデートプログラムを実行してしまう脆弱性が存在します。
なお、本脆弱性は、各製品本体の問題ではなく、各製品に同梱されているオンラインアップデート機能の問題です。
攻撃が行われた場合の影響が大きい脆弱性であるため、できるだけ早急に各製品に対応したアップデートモジュールを適用してください。
本脆弱性の深刻度
対象
次の製品が対象です。詳細は、ベンダ情報をご参照下さい。
「JUSTオンラインアップデート」が同梱されている製品
- 一太郎
- ATOK
- 花子
- 三四郎2010
- アレンジOK!素材集2
- 地図スタジオ2
- JUST PDF 3
- ラベルマイティ
- 快速!ササッと名刺、快速!ササッとDVDラベル、快速!ササッとフォトブック
- 楽々はがき
- Shuriken
- ホームページ・ビルダー
- ネットショップ・オーナー5
- ダヴィンチ・カート4
「JUSTオンラインアップデート for J-License」が同梱されている製品
- オフィス・オフィス統合ソフト
- ATOK
- 花子
- JUST PDF
- Shuriken
- ホームページ・ビルダー
- ジャストスクール5、ジャストスクール2011
- Tri-De DataProtect
- 楽々はがき2011
対策
製品開発者が提供する情報をもとに、「JUSTオンラインアップデート」および「JUSTオンラインアップデート for J-License および管理ツール」を更新してください。
詳しくは、製品開発者が提供する情報をご確認ください。
詳しくは、製品開発者が提供する情報をご確認ください。
参考情報
- 「情報セキュリティ早期警戒パートナーシップ」について
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、IPAがJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)経由で製品開発者自身から届出を受け、JPCERT/CCが製品開発者と調整を行ない公表したものです。詳細は、下記のURLを参照ください。
http://www.ipa.go.jp/security/vuln/report/index.html
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
E-mail:
更新履歴
| 2014年6月11日 | 掲載 |
|---|