Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一太郎シリーズに脆弱性、細工された「.xls」ファイルなどでコード実行のおそれ - 悪用は未確認

ジャストシステムの「一太郎シリーズ」に複数の脆弱性が含まれていることが明らかになった。細工されたExcelファイルなどを開くと、任意のコードを実行されるおそれがあるという。

20170227_js_001.jpg
脆弱性の実証動画(画像:Cisco Talos)

同シリーズの法人向けや個人向け製品、体験版などに脆弱性「CVE-2017-2790」「CVE-2017-2791」が含まれていることが明らかになったもの。

Officeで利用する「.xls」「.ppt」ファイルを開いた際に、バッファオーバーフローが生じるおそれがある。

また一太郎のファイル形式「.jtd」を開いた際にバッファオーバーフローが発生する「CVE-2017-2789」が存在。ジャストシステムでは、いずれも悪用することで、アプリケーションを異常終了させることが可能と説明している。

一方脆弱性を発見、報告したCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループでは、脆弱性に関する詳細情報を公開。これら脆弱性を悪用することで任意のコードを実行できると指摘した。

脆弱性を用いることで、リモートより計算機アプリを起動できることを示し、その様子を示す動画を公開。今回の脆弱性が悪用された形跡は観測していないという。

脆弱性は、同グループがジャストシステムへ報告。JPCERTコーディネーションセンターが調整を実施。ジャストシステムでは、脆弱性を解消するアップデートモジュールを公開した。

影響を受ける製品は以下のとおり。「一太郎ビューア」は影響を受けないとしている。

一太郎2016
一太郎2015
一太郎Pro 3
一太郎Pro 2
一太郎Pro
一太郎Government 8
一太郎Government 7
一太郎Government 6
一太郎2011 創
一太郎2011
一太郎2010
一太郎ガバメント2010

(Security NEXT - 2017/02/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Java SE」にセキュリティアップデート - 脆弱性8件を修正
「Chrome 70」で脆弱性23件を解消
「VMware ESXi」などに深刻な脆弱性 - パッチがリリース
「Joomla」に5件の脆弱性を解消したセキュリティアップデート
Facebookへの攻撃、影響は約3000万人 - 15カ月にわたり個人情報なども収集か
Oracle、四半期定例パッチをリリース - 脆弱性301件を修正
Oracle、四半期定例パッチをリリース - 脆弱性334件を修正
PHPにコード実行の脆弱性、リスク「高」 - アップデートがリリース
オフラインでもスキャン履歴から脆弱性を評価する「Nessus 8」
ファイル送受信用アプライアンス「FileZen」に複数の脆弱性