Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一太郎シリーズに脆弱性、細工された「.xls」ファイルなどでコード実行のおそれ - 悪用は未確認

ジャストシステムの「一太郎シリーズ」に複数の脆弱性が含まれていることが明らかになった。細工されたExcelファイルなどを開くと、任意のコードを実行されるおそれがあるという。

20170227_js_001.jpg
脆弱性の実証動画(画像:Cisco Talos)

同シリーズの法人向けや個人向け製品、体験版などに脆弱性「CVE-2017-2790」「CVE-2017-2791」が含まれていることが明らかになったもの。

Officeで利用する「.xls」「.ppt」ファイルを開いた際に、バッファオーバーフローが生じるおそれがある。

また一太郎のファイル形式「.jtd」を開いた際にバッファオーバーフローが発生する「CVE-2017-2789」が存在。ジャストシステムでは、いずれも悪用することで、アプリケーションを異常終了させることが可能と説明している。

一方脆弱性を発見、報告したCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループでは、脆弱性に関する詳細情報を公開。これら脆弱性を悪用することで任意のコードを実行できると指摘した。

脆弱性を用いることで、リモートより計算機アプリを起動できることを示し、その様子を示す動画を公開。今回の脆弱性が悪用された形跡は観測していないという。

脆弱性は、同グループがジャストシステムへ報告。JPCERTコーディネーションセンターが調整を実施。ジャストシステムでは、脆弱性を解消するアップデートモジュールを公開した。

影響を受ける製品は以下のとおり。「一太郎ビューア」は影響を受けないとしている。

一太郎2016
一太郎2015
一太郎Pro 3
一太郎Pro 2
一太郎Pro
一太郎Government 8
一太郎Government 7
一太郎Government 6
一太郎2011 創
一太郎2011
一太郎2010
一太郎ガバメント2010

(Security NEXT - 2017/02/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WordPress 5.1.1」がリリース - XSSの脆弱性など修正
サイトの脆弱性を診断する月額制クラウドサービス - セキュアブレイン
「Adobe Digital Editions」に深刻な脆弱性 - コード実行のおそれ
「Chrome 73」がリリース - セキュリティ関連の修正は60件
「Adobe Flash Player」にアップデート - セキュリティ修正は含まず
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Adobe Photoshop CC」に深刻な脆弱性 - アップデートがリリース
iOS向け保険管理アプリに脆弱性 - 「Cordova」向け旧プラグインに起因
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
「OpenSSL」の「ChaCha20-Poly1305」実装に脆弱性