「一太郎2011 創」などの複数のジャストシステム製品における DLL 読み込みに関する脆弱性

LAC Advisory No.112

Problem first discovered on: Sat, 20 Aug 2011
Published on: Thu, 8 Nov 2012

脅威度

中

概要

ワープロソフト「一太郎2011 創」などの複数のジャストシステム製品には、DLL 読み込みに関する脆弱性が存在します。攻撃者に利用された場合、任意のプログラムを実行される恐れがあります。

詳細

ワープロソフト「一太郎2011 創」を起動すると、「一太郎2011 創」は DLL「T21FAST.dll」を読み込みます。このとき、「一太郎2011 創」を起動したカレントディレクトリまで「T21FAST.dll」が探索されてしまいます。このため、攻撃者に悪用された場合、攻撃者が用意した DLL「T21FAST.dll」 を実行される可能性があります（下図は電卓プログラムを起動するだけの DLL「T21FAST.dll」を読み込んでしまったことを示します）。
この脆弱性は「一太郎2011 創」体験版の脆弱性として発見しましたが、開発者によって「一太郎2011 創」以外の製品も脆弱性の影響を受けることが確認されました。

影響を受けるバージョン

一太郎2011 創

※上記以外に影響を受ける製品については、JVN#95378720を参照してください。

対策

開発者が提供する情報をもとに、該当製品のアップデートモジュールの適用、または最新版へのアップデートを実施してください。

[JS12001] 一太郎・Shurikenの脆弱性を悪用した不正なプログラムの実行危険性について

http://www.justsystems.com/jp/info/js12001.html

発見者

勝海 直人 （LAC）

謝辞:
本問題は、情報処理推進機構（IPA） および JPCERT/CC による『情報セキュリティ早期警戒パートナーシップ』に従い、2011年8月に届出をおこなったものです。

http://jvn.jp/jp/JVN95378720/

http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000034.html

CVE番号:
CVE-2012-1242

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1242