Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一太郎シリーズに脆弱性、細工された「.xls」ファイルなどでコード実行のおそれ - 悪用は未確認

ジャストシステムの「一太郎シリーズ」に複数の脆弱性が含まれていることが明らかになった。細工されたExcelファイルなどを開くと、任意のコードを実行されるおそれがあるという。

20170227_js_001.jpg
脆弱性の実証動画(画像:Cisco Talos)

同シリーズの法人向けや個人向け製品、体験版などに脆弱性「CVE-2017-2790」「CVE-2017-2791」が含まれていることが明らかになったもの。

Officeで利用する「.xls」「.ppt」ファイルを開いた際に、バッファオーバーフローが生じるおそれがある。

また一太郎のファイル形式「.jtd」を開いた際にバッファオーバーフローが発生する「CVE-2017-2789」が存在。ジャストシステムでは、いずれも悪用することで、アプリケーションを異常終了させることが可能と説明している。

一方脆弱性を発見、報告したCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループでは、脆弱性に関する詳細情報を公開。これら脆弱性を悪用することで任意のコードを実行できると指摘した。

脆弱性を用いることで、リモートより計算機アプリを起動できることを示し、その様子を示す動画を公開。今回の脆弱性が悪用された形跡は観測していないという。

脆弱性は、同グループがジャストシステムへ報告。JPCERTコーディネーションセンターが調整を実施。ジャストシステムでは、脆弱性を解消するアップデートモジュールを公開した。

影響を受ける製品は以下のとおり。「一太郎ビューア」は影響を受けないとしている。

一太郎2016
一太郎2015
一太郎Pro 3
一太郎Pro 2
一太郎Pro
一太郎Government 8
一太郎Government 7
一太郎Government 6
一太郎2011 創
一太郎2011
一太郎2010
一太郎ガバメント2010

(Security NEXT - 2017/02/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

WordPressの人気テーマ「Divi」に深刻な脆弱性
Ciscoの複数ネットワーク管理製品に深刻な脆弱性 - 認証回避や遠隔操作のおそれ
IoT機器で広く採用される「Treck TCP/IP Stack」に深刻な脆弱性
横河電機の制御システム向けアラーム管理ソフトに複数脆弱性
「SKYSEA Client View」に脆弱性 - 緊急対応を
セキュアブート回避の脆弱性「BootHole」が判明 - LinuxやWindowsに影響
「BIG-IP」脆弱性問題でF5が侵害の調査方法を公開 - 米政府も注意喚起
Cisco ASAに脆弱性、悪用も確認 - 早急に更新を
トヨタ自動車の故障診断ツールに脆弱性 - ECU間の通信に判明
「Firefox 79」がリリース - 脆弱性10件を修正