一太郎、花子などジャストシステム製品にバッファオーバーフロー脆弱性
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
JVN#47272891経由、ジャストシステムの告知文によると、一太郎2005、一太郎2004、一太郎 文藝、一太郎ビューア 4.0、花子2006、花子2005、花子2004、花子ビューア 1.0、三四郎2005、一太郎Lite2 /R.2 にバッファオーバーフロー脆弱性があり、パッチがリリースされたようだ。未パッチの製品を使用していると、悪意ある一太郎、花子、三四郎文書等を開くと、任意コードを実行させられてしまう被害が生じると思われる。一太郎を普段使用していない人でも、一太郎ビューアをインストールしていることがあるので注意が必要だ。
一太郎の脆弱性については、未知の脆弱性を突いたいわゆる「ゼロデイ攻撃」が今年の8月と9月の2回にわたって発生していた(8月と9月のセキュリティホールmemoのまとめ参照)。このときは「小泉首相の靖国神社参拝速報.JTD」というファイル名の添付ファイル入りメールがばら撒かれていた。再び同様の攻撃が行われる恐れがあるところ、未然にパッチがリリースされたことは評価したい。
しかし、全国の膨大な数のユーザがこのことに気づいてパッチを適用できるかどうかが心配だ。ジャストシステムは顧客への告知等は行っているのだろうか。