ジャストシステムの汎用ライブラリに脆弱性：広範な製品に影響

　独立行政法人情報処理推進機構（IPA）と、有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）が共同で運営するJVNにおいて、複数のジャストシステム製品にバッファオーバーフロー脆弱性が存在することが明らかにされた。ジャストシステムの汎用ライブラリに含まれる脆弱性のため、多数の製品に影響が及んでいる。IPAによる深刻度の評価は10ポイント中6.8の「警告」。なお、7.0以上が「危険」と位置付けられている。

　この脆弱性は、悪意ある文書（JTDファイルなど）を閲覧することによってバッファオーバーフローが発生し、任意のコードが実行される危険性があるというもの。12月14日に公開された脆弱性（「ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について」）とは全く異なるものとなる。

　利用している環境によっては、ダウンロードの可否を示すダイアログがブラウザに表示されず、プラグインビューアを通じて文書を直接表示してしまうことがある。ファイルの保存をしていないという認識がユーザーにあるとしても、実際には閲覧している（＝影響を受ける製品で文書を展開している）ため、脆弱性を突いた攻撃を許してしまうことになる。ジャストシステムによると、一太郎シリーズをインストールすると、プラグインビューアがインストールされるという。

　同社では、修正パッチの適用を「強く推奨」している。影響を受ける製品、修正パッチの入手は、「ジャストシステム製品共通のバッファオーバーフロー脆弱性」を参照されたい。

　なお、本脆弱性は、フォティーンフォティ技術研究所の最高技術責任者、鵜飼裕司氏がIPAに報告した。