脆弱性が発見された「JUSTオンラインアップデート」

バージョンが「2.0.1.0」以降になっていれば更新済み

ジャストシステムは11日、同社の各種ソフトウェア製品に含まれるオンラインアップデート機能において、脆弱性が存在することを公開した。

該当するのは、個人向け製品のアップデート機能「JUSTオンラインアップデート」、法人向け製品のアップデート機能「JUSTオンラインアップデート for J-License」と「JUSTオンラインアップデート for J-License 管理ツール」だ。これらはソフトウェア製品のアップデートを担当するプログラムであり、ソフトウェア製品そのものに存在する脆弱性ではない。

脆弱性の内容は、アップデート機能の内部的な処理の不具合によって、アップデートモジュールの電子署名が不正であった場合でも、アップデートプログラムを実行するケースがあるというもの。これにより、任意のコードを実行される危険性がある。

ジャストシステムではすでに、この脆弱性を解消する更新プログラムをリリース済み。標準の設定でインストールしていれば、大半の環境で自動的に更新されているはずだ。

なお、影響を受ける具体的な製品としては、一太郎シリーズ、ATOKシリーズ、花子シリーズ、三四郎シリーズなど、ほとんどのジャストシステム製ソフトウェアが当てはまる。これらを利用しているユーザーは、ジャストシステムのWebサイトを参照のうえ、すみやかに確認と対策を講じていただきたい。