NEWS(09/09/02 16:13)
「ATOK」2006/2007/2008/2009に深刻な脆弱性、アップデートモジュールが公開
外部アプリケーション起動の制御部分に不具合があり、PCを乗っ取られるおそれ
(株)ジャストシステムは2日、日本語入力システム「ATOK」の複数バージョンに脆弱性があることを公表するとともに、脆弱性を解消するアップデートモジュールを公開した。現在、同社のWebサイトからダウンロードできる。
同社によると、「ATOK」が外部アプリケーションを起動する制御部分に不具合があり、いくつかの手順を踏むことによりシステム管理者権限で各種コマンドを実行可能になるという。攻撃が成功すると、最悪の場合、ソフトのインストールやデータの変更・削除など、システム管理者の権限でPCを任意に操作できるようになる。なお、情報処理推進機構(IPA)は本脆弱性の深刻度を、3段階中最高の“III(危険)”と位置付けている。
脆弱性の影響を受けるのは、下記の「ATOK」とそれを搭載したワープロソフト“一太郎”シリーズ、統合オフィススイート“JUST Suite”シリーズなど。
- 「ATOK 2009 for Windows」(定額制サービス版を含む)
- 「ATOK 2008 for Windows」
- 「ATOK 2007 for Windows」
- 「ATOK 2006 for Windows」
- 「ジャストスマイル4」に含まれる「ATOKスマイル」
当該製品を利用しているユーザーは、早急にアップデートモジュールを導入しよう。なお、「ATOK 2007」以降の製品は自動アップデートツール「JUSTオンラインアップデート」を搭載しているので、それを有効にしていればアップデートモジュールを別途ダウンロードする必要はない。
なお同社によると、2日現在本脆弱性に起因する実際の被害は確認されていないとのこと。
- ATOK.com - 日本語入力システム「ATOK(エイトック)」や日本語に関する情報のサイト
- http://www.atok.com/
- ATOKの脆弱性を悪用した不正なプログラムの実行危険性について
- http://www.justsystems.com/jp/info/js09003.html
- 情報処理推進機構:情報セキュリティ:脆弱性対策:「ATOK for Windows」におけるセキュリティ上の弱点(脆弱性)の注意喚起
- http://www.ipa.go.jp/security/vuln/documents/2009/200909_atok.html
- 窓の杜 - ATOK 2009
- http://www.forest.impress.co.jp/lib/offc/print/ime/atok2008.html