国内のセキュリティ組織である情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2007年10月25日、ジャストシステムのワープロソフト「一太郎」シリーズに3件の脆弱性が見つかったことを明らかにした。細工が施された文書ファイル(.jtd)を開くだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、ジャストシステムが同日公開したアップデートモジュールを適用すること。

 脆弱性の影響を受けるのは、以下の製品。いずれの製品にも3件の脆弱性が見つかった。

  • 一太郎ビューア
  • 一太郎11/12/13
  • 一太郎2004/2005/2006
  • 一太郎2007/2007体験版
  • 一太郎ガバメント2006/2007
  • 一太郎文藝
  • 一太郎Lite2
  • 一太郎 for Linux

 3件とも、バッファーオーバーフローと呼ばれる問題を引き起こす脆弱性。細工が施されたデータ(文書ファイル)を読み込むだけでバッファーオーバーフローが発生し、一太郎が不正終了したり、ファイルに仕込まれたウイルスを実行されたりする。

 対策は、ジャストシステムが公開するアップデートモジュールを適用すること。同モジュールを適用すれば、3件の脆弱性はすべて解消される。同モジュールは同社のWebサイトからダウンロードできる。

 ただし、サポートが終了している一太郎11/12/13/2004のアップデートモジュールは公開されていない。法人ライセンス製品(J-License製品)の一太郎11/12/13/2004のユーザーに対してのみ、問い合わせに応じてアップデートモジュールを提供する。

 今回の脆弱性を発見したのは、フォティーンフォティ技術研究所の鵜飼裕司氏。同氏は、ファイル共有ソフト「Winny(ウィニー)」やファイル圧縮ソフト「Lhaplus(ラプラス)」などの脆弱性も見つけている。