Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一太郎シリーズに脆弱性、細工された「.xls」ファイルなどでコード実行のおそれ - 悪用は未確認

ジャストシステムの「一太郎シリーズ」に複数の脆弱性が含まれていることが明らかになった。細工されたExcelファイルなどを開くと、任意のコードを実行されるおそれがあるという。

20170227_js_001.jpg
脆弱性の実証動画(画像:Cisco Talos)

同シリーズの法人向けや個人向け製品、体験版などに脆弱性「CVE-2017-2790」「CVE-2017-2791」が含まれていることが明らかになったもの。

Officeで利用する「.xls」「.ppt」ファイルを開いた際に、バッファオーバーフローが生じるおそれがある。

また一太郎のファイル形式「.jtd」を開いた際にバッファオーバーフローが発生する「CVE-2017-2789」が存在。ジャストシステムでは、いずれも悪用することで、アプリケーションを異常終了させることが可能と説明している。

一方脆弱性を発見、報告したCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループでは、脆弱性に関する詳細情報を公開。これら脆弱性を悪用することで任意のコードを実行できると指摘した。

脆弱性を用いることで、リモートより計算機アプリを起動できることを示し、その様子を示す動画を公開。今回の脆弱性が悪用された形跡は観測していないという。

脆弱性は、同グループがジャストシステムへ報告。JPCERTコーディネーションセンターが調整を実施。ジャストシステムでは、脆弱性を解消するアップデートモジュールを公開した。

影響を受ける製品は以下のとおり。「一太郎ビューア」は影響を受けないとしている。

一太郎2016
一太郎2015
一太郎Pro 3
一太郎Pro 2
一太郎Pro
一太郎Government 8
一太郎Government 7
一太郎Government 6
一太郎2011 創
一太郎2011
一太郎2010
一太郎ガバメント2010

(Security NEXT - 2017/02/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

8月修正「Windows Server」の脆弱性狙う悪用コードが公開 - 米政府警告
脆弱性「Zerologon」でドメイン管理者権限奪取のおそれ - 詳細明らかに
脆弱なファイル管理用WPプラグインを狙う攻撃を国内で観測
「TLS 1.2」以前に「Raccoon Attack」のおそれ - OpenSSL、F5などが対処
「Office 2010」のサポート終了まで1カ月 - 「Office 2016 for Mac」も
「GnuTLS」にサービス拒否の脆弱性 - アップデートが公開
「Bluetooth」に脆弱性「BLURtooth」が判明 - 認証キー上書きのおそれ
「Adobe Experience Manager」に複数の深刻な脆弱性
「InDesign」「Adobe Framemaker」に複数の深刻な脆弱性 - 更新版リリース
Google、「Chrome 85」をリリース - 5件の脆弱性に対処