「一太郎シリーズ」におけるセキュリティ上の弱点（脆弱性）の注意喚起

　株式会社ジャストシステムが提供する「一太郎シリーズ」は、日本語ワープロソフトです。「一太郎シリーズ」は、文章を作成するソフトウェアの一つとして、日本国内で広く利用されています。

　「一太郎シリーズ」には、文書ファイルを読みこむ際に、バッファオーバーフローというセキュリティ上の弱点（脆弱性）があります。この弱点が悪用されると、「一太郎シリーズ」がインストールされたコンピュータ上で、任意のコードが実行されてしまう可能性があります。

　脆弱性による影響が大きいことと、「一太郎シリーズ」の普及状況により、この影響を受ける利用者が国内に広く存在すると判断し、注意喚起を行いました。

　詳細は、次のURLを参照して下さい。
http://www.justsystems.com/jp/info/js09002.html

　最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000018.html

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2009年2月12日に以下の報告者からIPAが届出を受け、JPCERT/CC（有限責任中間法人 JPCERT コーディネーションセンター）が製品開発者と調整を行ない、2009年4月7日に公表したものです。
　 報告者： (株)フォティーンフォティ技術研究所　鵜飼 裕司　氏

　「一太郎シリーズ」の利用者が、ウェブブラウザやメール経由で細工された文書ファイルを閲覧した場合に、システムが破壊されたり、ウイルスやボットに感染させられたりする可能性があります。

　特に、ウェブブラウザでの閲覧の場合、ウェブブラウザの種類や設定によっては、ダウンロード後に開く等の操作を行わなくても、悪意あるURLにアクセスするだけで被害を受けてしまう可能性があります。

　結果として、コンピュータが悪意あるユーザによって制御される可能性があります。

　対策方法は「ベンダが提供する対策済みバージョンに更新する」ことです。

(1)評価結果

(2)CVSS基本値の評価内容

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

　本脆弱性のCWE分類は、「バッファエラー（CWE-119）」です。

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は 「脆弱性関連情報に関する届出状況（プレスリリース）」 を参照下さい。

図6-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

参考情報

本件に関するお問い合わせ先

報道関係からのお問い合わせ先

更新履歴