ジャストシステムのアップデートプログラムに深刻な脆弱性 - 多数製品に同梱

複数のジャストシステム製品に同梱されているオンラインアップデートプログラムに脆弱性が含まれていることがわかった。

脆弱性ポータルサイトのJVNによれば、製品に付属するオンラインアップデートプログラムに脆弱性「CVE-2014-2003」が見つかったもの。コンシューマー向けに提供されている「JUSTオンラインアップデート」と、法人向けに提供されている「JUSTオンラインアップデート for J-License」「同管理ツール」が影響を受ける。

今回見つかった脆弱性は、電子署名が正しくない場合もアップデートプログラムを実行するもので、悪用された場合、任意のコードを実行されるおそれがある。問題のプログラムは、「一太郎」や「ATOK」をはじめ、多数製品に同梱されている。あくまでアップデートプログラムに存在するもので、各製品の脆弱性ではないという。

ジャストシステムでは、脆弱性を修正するアップデートモジュールを公開。今回の脆弱性に関して、情報処理推進機構（IPA）では、攻撃が行われた場合に影響が大きいと指摘。できるだけ早急にアップデートモジュールを適用するよう呼びかけている。

（Security NEXT - 2014/06/11 ） ツイート

PR

関連記事

「iOS」にアップデート - 「WebKit」のゼロデイ脆弱性2件など修正
「Chromium」ゼロデイ脆弱性、Macに影響 - 米当局が注意喚起
「Plesk」Linux版に権限昇格の脆弱性 - アップデートで修正
ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨
「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明