お知らせ セキュリティ情報 08.08.26 一太郎の脆弱性を悪用した不正なプログラムの実行危険性
について (update: 2008.10.1)

概要

2008年8月26日、弊社の一部製品に脆弱性の存在を確認いたしました。 この脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。 弊社ではこの問題を調査中です。なお、2008年9月30日現在におきまして、本件に起因する実際の被害は確認しておりません。

脆弱性の内容

今回の脆弱性は該当製品の書式情報の処理部分に存在しています。 そのため、この脆弱性を悪用することを目的に改ざんされた文書ファイルを直接開いたり、 Webサイト上の文書ファイルをプラグインビューアで開いたり、 悪意のあるサイトへのリンクをクリックするなどしてそのサイトに埋め込まれた文書ファイルを意図せず開いてしまった場合、 外部の第三者からインターネット越しに任意のコードが実行される恐れがあります。

脆弱性がもたらす脅威

システム管理者権限でログインして該当製品を利用している場合、 この脆弱性を悪用した攻撃が「成功」すると、 悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。 これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、 システム管理者の権限でコンピュータを任意に操作する可能性があります。

該当製品と対策・回避策

該当製品とそれぞれに対応するセキュリティ更新モジュール、アップデートモジュールをご案内いたします。 製品ごとの対策方法・回避策の詳細は、各モジュールのダウンロード画面、あるいは、回避策の説明画面でご確認ください。 セキュリティ更新モジュール、アップデートモジュールが提供されている製品については、その導入を強く推奨いたします。 同モジュールは今回発見された脆弱性を修正するもので、導入することにより、 原因となる箇所において不正な動作は発生しなくなります。
セキュリティ更新モジュールの導入にかかわらず、身に覚えのない電子メールに添付されている一太郎文書ファイル、 並びに、信頼性が保証されていないWebサイトなどにある、出所の不明な一太郎文書ファイルを開かないよう、ご注意ください。

該当製品名・バージョン 対策・回避策
一太郎2008
一太郎ガバメント2008
一太郎2008 体験版

現在お使いの「一太郎2008 体験版」をアンインストールし、一太郎2008 体験版のダウンロードページから最新版をダウンロードしてご利用ください。 なお、アンインストールの手順は、ダウンロードのページをご参照ください。

一太郎2007
一太郎ガバメント2007
一太郎2006
一太郎ガバメント2006
一太郎2005
一太郎文藝
一太郎2004
一太郎13
一太郎12
三四郎2008

(追加:2008.10.01)

三四郎2008アップデートモジュールのダウンロード※ 三四郎2008が利用するライブラリファイルにおいて、一太郎文書を表示する際に 本脆弱性に該当する箇所があります。本モジュールはこれを修正します。

一太郎ビューア(5.1.3.1以前) *2
  • 1 公開当初はセキュリティ更新モジュールを提供していましたが、後のアップデートモジュール(2009.03.16更新)に統合されましたので、 表記並びにリンク先アドレスを変更しています。
  • 2 お使いのビューアのバージョン番号は、ビューアの「ヘルプ」メニューから「バージョン情報」を選択して表示される画面でご確認ください。

更新履歴

2009.03.31 アップデートモジュールに統合されたセキュリティ更新モジュールの表記とリンクを書き換えました。
2008.10.01 対象製品に「三四郎2008」を追加しました。
2008.09.17 対象製品の一覧において「一太郎2008 体験版」の対策を掲出しました。
2008.09.11 対象製品の一覧において「一太郎ビューア」のバージョン番号を正しました。
2008.09.11 対象製品とその対策・回避策を掲出しました。
2008.08.26 この脆弱性情報ページを公開しました。