ニュース

ジャストシステム製の複数製品に脆弱性、アップデートモジュールが公開

電子署名が不正であった場合にもアップデートプログラムが実行されてしまう恐れ

 (株)ジャストシステムは11日、同社の複数製品に搭載されているオンラインアップデート機能に脆弱性があることを発表した。

 脆弱性が存在するのは、「一太郎2012 承」以降の“一太郎”シリーズや「ATOK 2012 for Windows」以降の“ATOK”シリーズ、「ホームページ・ビルダー」v16以降などに同梱されているツール「JUSTオンラインアップデート」「JUSTオンラインアップデート for J-License」「JUSTオンラインアップデート for J-License 管理ツール」。これらのツールがインストールされているかどうかは、Windowsの“プログラムのアンインストールまたは変更”のプログラム一覧リストに掲載されているかで判断できる。

 同脆弱性により、電子署名が不正であった場合にもアップデートプログラムが実行されてしまう恐れがある。脆弱性の評価システム“CVSS”による10点満点の深刻度は“7.6”となっている。

 現在同社では、脆弱性を修正する「JUSTオンラインアップデート」などのアップデートモジュールを公開しているほか、「JUSTオンラインアップデート」自身のアップデート機能でv2.0.1.0へ更新することでも脆弱性を修正可能。

(長谷川 正太郎)