「一太郎Pro」「ATOK」など法人向けジャストシステム製品の同梱プログラムに脆弱性

ジャストシステムの法人向けソフトウェアに同梱されている「JUSTオンラインアップデート for J-License」に脆弱性が明らかとなった。

同プログラムは、アップデートモジュールがないか定期的に確認するソフトウェア。「一太郎Pro」「ATOK」「花子」「Shuriken」をはじめ、「JUST PDF」「JUST Office」「JUST Government」「JUST Police」「JUST Medical」「ジャストスクール」ほか、同社の法人向け製品に同梱されている。

特定のプログラムを起動する際、実行ファイルのパスが引用符で囲まれておらず、不正なファイルを実行するおそれがある脆弱性「CVE-2022-36344」が判明した。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「8.8」と評価されている。

同脆弱性は、サイバーディフェンス研究所の松隈大樹氏が情報処理推進機構（IPA）へ報告したものでJPCERTコーディネーションセンターが調整を行った。

ジャストシステムでは、「JUSTオンラインアップデート for J-License」が導入されているか確認する方法をアナウンスするとともに、同プログラムを更新するよう利用者へ呼びかけている。

（Security NEXT - 2022/07/28 ） ツイート

PR

関連記事

ワコム製タブレットのmacOS向けドライバインストーラーに脆弱性
「Apache Tomcat」に脆弱性 - 過去の修正が不完全で
「NSX-T」にXSS脆弱性、アップデートがリリース
Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
複数Apple製品が影響を受ける脆弱性 - 米政府が注意喚起
ウェブ開発フレームワーク「CodeIgniter4」にRCE脆弱性
「WordPress」が再度セキュリティ更新 - 前回から4日で
キヤノン製の小規模向け複合機やプリンタに複数脆弱性
ワークフロー管理プラットフォーム「Apache Airflow」に脆弱性
Aruba製アクセスポイントに深刻な脆弱性 - 更新や回避策を