Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一太郎シリーズに脆弱性、細工された「.xls」ファイルなどでコード実行のおそれ - 悪用は未確認

ジャストシステムの「一太郎シリーズ」に複数の脆弱性が含まれていることが明らかになった。細工されたExcelファイルなどを開くと、任意のコードを実行されるおそれがあるという。

20170227_js_001.jpg
脆弱性の実証動画(画像:Cisco Talos)

同シリーズの法人向けや個人向け製品、体験版などに脆弱性「CVE-2017-2790」「CVE-2017-2791」が含まれていることが明らかになったもの。

Officeで利用する「.xls」「.ppt」ファイルを開いた際に、バッファオーバーフローが生じるおそれがある。

また一太郎のファイル形式「.jtd」を開いた際にバッファオーバーフローが発生する「CVE-2017-2789」が存在。ジャストシステムでは、いずれも悪用することで、アプリケーションを異常終了させることが可能と説明している。

一方脆弱性を発見、報告したCisco SystemsのTalosセキュリティインテリジェンス&リサーチグループでは、脆弱性に関する詳細情報を公開。これら脆弱性を悪用することで任意のコードを実行できると指摘した。

脆弱性を用いることで、リモートより計算機アプリを起動できることを示し、その様子を示す動画を公開。今回の脆弱性が悪用された形跡は観測していないという。

脆弱性は、同グループがジャストシステムへ報告。JPCERTコーディネーションセンターが調整を実施。ジャストシステムでは、脆弱性を解消するアップデートモジュールを公開した。

影響を受ける製品は以下のとおり。「一太郎ビューア」は影響を受けないとしている。

一太郎2016
一太郎2015
一太郎Pro 3
一太郎Pro 2
一太郎Pro
一太郎Government 8
一太郎Government 7
一太郎Government 6
一太郎2011 創
一太郎2011
一太郎2010
一太郎ガバメント2010

(Security NEXT - 2017/02/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

CiscoのWindows向けVPNクライアントに脆弱性 - 更新を
「Office for Mac」向けにセキュリティ更新 - 脆弱性2件を修正
「BIND 9」にリモートより悪用可能な脆弱性 - アップデートが公開
複数脆弱性を修正した「OpenSSL 1.1.1j」が公開
「OpenSSL」にサービス拒否の脆弱性 - アップデートが公開
「Aruba ClearPass Policy Manager」に複数の脆弱性
複数脆弱性を修正、「Chrome 88.0.4324.182」が公開
長年存在した「Microsoft Defender」の脆弱性が月例パッチで修正
ファイル送受信製品「FileZen」に脆弱性 - アップデートは準備中、緩和策の実施を
グラフや表を作成のWP向けプラグインに深刻な脆弱性