一太郎の新たなバッファオーバーフロー脆弱性が発見される 11
ストーリー by reo
新生ジャスト先生のリリースにご期待ください 部門より
新生ジャスト先生のリリースにご期待ください 部門より
hylom 曰く、
IPA (独立行政法人情報処理推進機構) セキュリティセンターおよび有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC) が4月7日、一太郎にバッファオーバーフローの脆弱性があると発表した (発表資料) 。これを受けてジャストシステムは脆弱性を修正したアップデートモジュールを 4 月 7 日付けで公開している (ジャストシステムのセキュリティ情報ページ) 。
この脆弱性は、文書ファイルを読み込む際にバッファオーバーフローを引き起こす可能性があるというもので、悪意のあるファイルを読み込ませることで任意のコードの実行を許してしまうおそれがある。また、Web ブラウザでの閲覧の場合、悪意のある URL にアクセスするだけで被害を受ける可能性があるとのこと (以前高木浩光氏の blog で紹介されていた、IE 用の一太郎ビューアプラグインが原因と思われる) 。
影響を受けるシステムは以下のとおり。
- 一太郎 2009
- 一太郎 ガバメント2009
- 一太郎 2009 体験版
- 一太郎 2008
- 一太郎 ガバメント2008
- 一太郎 2007
- 一太郎 ガバメント2007
- 一太郎 2006
- 一太郎 ガバメント2006
- 一太郎 2005
- 一太郎 文藝
- 一太郎 2004
- 一太郎 13
- 一太郎 ビューア2009 バージョン 19.0.1.0 およびそれ以前
一太郎には以前にもバッファオーバーフローの脆弱性など、セキュリティホールが発見されているが、今回のものは以前に発見されたものとは異なるという (脆弱性対策情報データベースの該当する項目) 。
「これを受けて」 (スコア:0)
発表する前にこっそり教えてくれないの?
そうすれば次回のアップデート時に無かったことに出来るのに。
Re:「これを受けて」 (スコア:1, 参考になる)
IPA経由で報告されたソフトウェアの脆弱性が修正されて脆弱性情報が一般公開される場合、公開は関係者同士で打ち合わせてできるだけタイムラグがないように行われます。
参考:
JPCERT/CCとの「脆弱性情報ハンドリング」の記録 [klab.org]
一太郎12は・・・ (スコア:0)
先生、うちの一太郎さん(12)が入っていないのですが、
古くてサポートしないから載っていないだけで影響はあるのでしょうか
内容を読んだところ、文書情報の処理部分に問題があると言うことなので、
ビューアだけ気を付ければいい問題ではなさそうですよね
#一太郎とかATOKとか毎年バージョンアップする必要もないかなぁと思ってるし・・・
#そうは言ってもそろそろバージョンアップ時ですか?
Re:一太郎12は・・・ (スコア:2, 参考になる)
一太郎12が含まれていないのは、2009年2月に法人向けのJ-License製品のサポートも終了 [justsystems.com]しているからですね。サポートされている全バージョンで報告されているので、実際には影響を受ける可能性が高いと思います。
Re:一太郎12は・・・ (スコア:2)
1999年5月発売の一太郎Lite2 [justmyshop.com]は今でも販売しているのですがリストにないですね。一太郎10 [ichitaro.com]でもLite2より新しいのですが、Lite2は一太郎ビューアプラグインが含まれないので影響を受けないということなのでしょうか。
Re: (スコア:0)
一太郎だったら、日本のどこかにいまだにWindows98SE上で旧バージョン使ってる
とかいうところもありそうだよなぁ。
Re:一太郎12は・・・ (スコア:2, 興味深い)
Re: (スコア:0)
98SEならそこいらで現役マシンがいくらでも見つかるけど、さすがに9801は・・・・もうHDDがぶっ壊れてるのが大半のような気がする。
Re: (スコア:0)
HDDは健在ですが、FDDが2ドライブとも破損、2回交換して1回目のは壊れました。
これで何回目? (スコア:0)
10回目くらい?
先月もゼロデイでやられてた [trendmicro.co.jp]し。
お約束(スコア: -1, フレームの元) (スコア:0)
セキュリティホールが浜の真砂の如く尽きない感もある一太郎ですが(ry