Home > ジャストシステムからのお知らせ > ATOKの脆弱性を悪用した不正なプログラムの実行危険性について
セキュリティ情報

[JS09003] ATOKの脆弱性を悪用した不正なプログラムの実行危険性について

公開日:2009年 9月 2日

概要

2009年6月12日、IPAより弊社の一部製品に脆弱性が存在する旨の連絡を受けました。
調査の結果、指摘の脆弱性が存在することを確認しました。
この脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。
弊社ではこの問題の調査と対策の作成を完了し、これを修正するモジュールを公開いたします。
なお、2009年9月2日現在、本件に起因する実際の被害は確認しておりません。

脆弱性の内容

今回の脆弱性は該当製品の外部アプリケーション起動の制御部分に存在しています。 この脆弱性を悪用することで、いくつかの手順を実行後、 システム管理者権限でコマンドを実行できるようになります。

脆弱性がもたらす脅威

この脆弱性を悪用した攻撃が「成功」すると、 悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。 これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、 システム管理者の権限でコンピュータを任意に操作する可能性があります。

該当製品と対策・回避策

該当製品とそれぞれに対応するセキュリティ更新モジュール、アップデートモジュールをご案内いたします。 製品ごとの対策方法・回避策の詳細は、各モジュールのダウンロード画面、 あるいは、回避策の説明画面でご確認ください。
これらのモジュールが提供されている製品については、その導入を強く推奨いたします。 各モジュールは今回発見された脆弱性を修正するもので、導入することにより、 原因となる箇所において不正な動作は発生しなくなります。

該当製品名・バージョン 対策・回避策
ATOK 2009 for Windows ATOK 2009 for Windows アップデートモジュールのダウンロード
ATOK定額制サービス (Windows) ATOK for Windows 定額制 アップデートモジュールのダウンロード
ATOK 2008 for Windows ATOK 2008 for Windows アップデートモジュールのダウンロード
ATOK 2007 for Windows ATOK 2007 for Windows アップデートモジュールのダウンロード
ATOK 2006 for Windows ATOK 2006 for Windows セキュリティ更新モジュールのダウンロード 
ジャストスマイル4に含まれるATOKスマイル ATOKスマイル アップデートモジュールのダウンロード
上記製品を搭載した一太郎シリーズ、JUST Suiteシリーズ等を含みます。

関連情報

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づきIPA に報告があったものを、JPCERT/CC から連絡をいただきました。
JVNの開示情報はこちら »

以上


update : 2009.09.02