アーカイブ
「一太郎2011 創」などの複数のジャストシステム製品における DLL 読み込みに関する脆弱性
2012年11月8日 | 注意喚起
LAC Advisory No.112
Problem first discovered on: Sat, 20 Aug 2011
Published on: Thu, 8 Nov 2012
脅威度
中
概要
ワープロソフト「一太郎2011 創」などの複数のジャストシステム製品には、DLL 読み込みに関する脆弱性が存在します。攻撃者に利用された場合、任意のプログラムを実行される恐れがあります。
詳細
ワープロソフト「一太郎2011 創」を起動すると、「一太郎2011 創」は DLL「T21FAST.dll」を読み込みます。このとき、「一太郎2011 創」を起動したカレントディレクトリまで「T21FAST.dll」が探索されてしまいます。このため、攻撃者に悪用された場合、攻撃者が用意した DLL「T21FAST.dll」 を実行される可能性があります(下図は電卓プログラムを起動するだけの DLL「T21FAST.dll」を読み込んでしまったことを示します)。
この脆弱性は「一太郎2011 創」体験版の脆弱性として発見しましたが、開発者によって「一太郎2011 創」以外の製品も脆弱性の影響を受けることが確認されました。
影響を受けるバージョン
一太郎2011 創
※上記以外に影響を受ける製品については、JVN#95378720(http://jvn.jp/jp/JVN95378720/)を参照してください。
対策
開発者が提供する情報をもとに、該当製品のアップデートモジュールの適用、または最新版へのアップデートを実施してください。
[JS12001] 一太郎・Shurikenの脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js12001.html
発見者
勝海 直人 (LAC)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報セキュリティ早期警戒パートナーシップ』に従い、2011年8月に届出をおこなったものです。
http://jvn.jp/jp/JVN95378720/
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000034.html
CVE番号:
CVE-2012-1242
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1242