取締役平社員ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。　　

　－無責管理－

　　　当ページ記事により不具合、問題が発生した場合でも責任をもちません。

　　 ● 情報セキュリティ系勉強会ポータルサイト 　

　

セキュリティ・キャンプ

　(セキュリティ・キャンプ実施協議会) 　　

　

[051833]一太郎2012 承アップデートモジュール - taro2012up3.exe

コンピュータ

一太郎2012アップデートtaro2012up3.ex

Security Fix 。対象は、一太郎2006〜2013、花子2006〜2013 ほか、です。

サポート対象製品が 2006 以降と云うだけで、2005 以前にも同様の脆弱性があると考えた方が良さそうです。

一太郎さんは、ブラウザーにアドオン/拡張機能を組み込んでくれますから、これらを無効にしておくことも重要です。

ジャストシステム http://support.justsystems.com/faq/1032/app/servlet/qadoc?QID=051833
> [051833]一太郎2012 承アップデートモジュール

> ▼2013.02.26 更新版で追加した回避項目
> 悪意の第三者により不正に改ざんされた一太郎文書を読み込むことで、任意の
> コードを実行され、パソコンが不正に操作される危険性を確認しています。
> 本モジュールを導入することで、問題のあるファイルを一太郎2012で開いて
> も、不正な動作は発生しなくなります。
> ※
> これまでに対応した内容も含みます。
> Windows 8において、一部フォントでPOP文字の表示が不正になる現象
> Windows 8において、[ファイル - 他形式の保存 - XPS出力] を実行するとエ
> ラーになる現象
> Windows 8において、Microsoft IMEを使用時、タッチキーボードの候補を選ん
> で入力したあとに次の候補が表示されない現象
> Windows 8、Windows 7（Service Pack 1）において、ダブルタッチでのズーム
> イン／ズームアウトが動作しない現象
> Windows 8において、「絵や写真ダイアログ」で「フォルダーから」を選択中
> に、左側ツリーペインで [ライブラリ - ピクチャ] 下のファイルやフォルダが
> 表示されない現象
> 辞書引きで表示される電子辞典の一覧が、ATOKでの一覧と異なることがある現象
> 保存したEPUBファイルを、チェックツール EpubCheckの 3.0-RC-1以降でチェッ
> クすると必ずエラーになってしまう現象
>

(図1)

[051833]一太郎2012 承アップデートモジュール - taro2012up3.exe 。
[051833]一太郎2012 承アップデートモジュール - taro2012up3.exe 。
(画像サイズ 33.93 KB)

(関連)

ジャストシステム http://www.justsystems.com/jp/info/js13001.html
> 一太郎・花子の脆弱性を悪用した不正なプログラムの実行危険性について

※ 0-Day みたい。CVE 番号、欲しいですね。あと 2010 以前はまだアップデートが無いです。

ジャストシステム http://support.justsystems.com/faq/1032/app/servlet/qadoc?QID=049543
> [049543]一太郎2011 創／一太郎2011 アップデートモジュール

ジャストシステム http://support.justsystems.com/faq/1032/app/servlet/qadoc?QID=053402
> [053402]一太郎2013 玄アップデートモジュール

・・・

JPCERT/CC and IPA http://jvn.jp/jp/JVN16817324/
> JVN#16817324: 複数のジャストシステム製品において任意のコードが実行される脆弱性

※ CVE-2013-0707 。

Symantec http://www.symantec.com/connect/de/blogs-40
> 一太郎の脆弱性: 新たなゼロデイ脆弱性の悪用を確認 | Symantec Connect Community

※ JSMISC32.DLL への攻撃など。このシナリオならば、Windows 8 ではとりあえず回避出来そう。

インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20130226_589465.html
> 「一太郎」の脆弱性は、ゼロデイ標的型攻撃で1月中旬より悪用確認 -INTERNET Watch

インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20130226_589385.html
> 「一太郎」「花子」の新旧バージョンに脆弱性、修正モジュール提供開始 -INTERNET Watch

※ 2010 以前は「2月28日から3月28日まで段階的にアップデートモジュールを公開」とのこと。

・・・

http://d.hatena.ne.jp/TsuSUZUKI/20120525/1337920289

※ [051833]一太郎2012 承アップデートモジュール - taro2012up2.exe

http://d.hatena.ne.jp/TsuSUZUKI/20120925/1348579411

※ [051710]ATOK 2012 for Windows アップデートモジュール - at25up4x86.exe

http://d.hatena.ne.jp/TsuSUZUKI/20121127/1354046179

※ [042762]ATOK郵便番号辞書・7桁郵便番号簿の最新版ダウンロード（平成24年10月31日更新版）

http://d.hatena.ne.jp/TsuSUZUKI/20120530/1338366882

※ JUSTオンラインアップデートのアップデート 1.6.1.0

いじょうです。

- -