一太郎2006 〜 一太郎2010 に脆弱性。細工された、悪意ある一太郎文書を開くことで、任意のコードを実行可能らしいです。

一太郎2009 〜 2010 (体験版を除く)には、修正モジュールがあるので適用します。2006 〜 2008 用は準備中です。

脆弱性情報のページ:

ジャストシステム http://www.justsystems.com/jp/info/js10001.html
> 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について

"今回の脆弱性は該当製品のフォント情報の処理部分に存在しています。" とのことです。

恐らく 2005 以前のバージョンにも影響するのではないかと想像するのですが、はてさて。

ダウンロードサイト:

ジャストシステム http://support.justsystems.com/faq/1032/app/servlet/qadoc?QID=044374

> [044374]一太郎2009 アップデートモジュール 

> [ダウンロード]

> ■更新日：2010.04.12 - ■情報番号：044374
(中略)
> 回避項目

> ■本モジュールを導入いただくことで、以下の現象を回避します。

> 

> ▼2010.04.12 更新版で追加した回避項目

>

>    * 悪意の第三者により不正に改ざんされた一太郎文書を読み込むことで、

>      任意のコードを実行され、パソコンが不正に操作される危険性を確認しています。

>      本モジュールを導入することで、問題のあるファイルを一太郎2009で開いても、

>      不正な動作は発生しなくなります。
(後略)

ジャストシステム http://support.justsystems.com/faq/1032/app/servlet/qadoc?QID=046420

> [046420]一太郎2010 アップデートモジュール 

> [ダウンロード]

> ■更新日：2010.04.12 - ■情報番号：046420

OS 再起動は、求められませんでした。

今回のモジュール名は、t2009up4.exe 、ディジタル署名の拇印は "03 0f 03 d8 43 e0 e2 78 02 83 e5 c4 6e 29 fd 54 82 f6 71 d6" で、前回と変わらずです。

モジュール公開から 40 分ほど後 (2010/04/12 11:40 +0900 くらい) に、UsersInfo の電子メールが飛んできてます。

昨年 5月の時は、リリースから１０日も後だったことを考えると、とっても速いです。今後もこのくらいのペースでアナウンスしていただけますとありがたいです。

(図1)


一太郎2009 アップデートモジュール。
(画像サイズ 35KB)

なんか、すごくすっきり↑したです。

(関連)

http://d.hatena.ne.jp/TsuSUZUKI/20091016/1255699338

※ 「続々・[044374]一太郎2009 アップデートモジュール リリース」

http://d.hatena.ne.jp/TsuSUZUKI/20090903/1251967226

※ 「[044473]ATOK 2009 for Windows アップデートモジュール リリース」Ver.4

いじょうです。

• • -