「一太郎」「一太郎ビューア」に任意コード実行の脆弱性、対応版が公開

文書を開く際に加え文書を埋め込んだWebページの表示でも任意コード実行のおそれ

　（株）ジャストシステムは7日、同社製ワープロ製品“一太郎”シリーズおよび無償配布の文書ビューワーソフト“一太郎ビューア”シリーズの脆弱性について公表し、同時に製品の脆弱性を修正するアップデーターおよび脆弱性を修正済みの「一太郎ビューア2009」v19.0.2.0を公開した。いずれも現在、同社のWebサイトからダウンロードできる。

　脆弱性の影響を受けるのは、「一太郎13」から「一太郎2009」までの全バージョンおよび「一太郎文藝」「一太郎ガバメント2009」といった派生製品。また、「一太郎ビューア2009」v19.0.1.0以前と、旧シリーズの「一太郎ビューア」全バージョンも脆弱性の対象となる。

　脆弱性は文書情報の処理部分に存在し、悪用目的で特別な細工が施された文書を開くと、任意のコードが実行されるおそれがある。ローカルのファイルを開いた場合だけでなく、Webページ上のファイルをプラグインで開いたり、文書が埋め込まれたWebページを表示した場合にも影響を受けるため、意図せずリモート経由で攻撃される可能性もある。ただし、同社によると7日現在、実際の被害は確認されていないとのこと。

　なお7日14時現在、編集部にて「一太郎ビューア2009」v19.0.2.0のインストールを行ったところ、バージョン情報の表示がv19.0.1.0となっていることを確認した。同社に問い合わせたところ、バージョン表記が古いままリリースしてしまったが、脆弱性そのものは修正済みとのこと。