「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性 | ScanNetSecurity
2022.08.15(月)

「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月28日、「JUSTオンラインアップデート for J-License」の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月28日、「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社サイバーディフェンス研究所の松隈大樹氏が報告を行っている。

 影響を受けるシステムは「JUSTオンラインアップデート for J-License」 (法人のお客様向けのアップデート機能) で、添付されているサポート中の商品は下記の通り。

・オフィス・オフィス統合ソフト
JUST Office 5、JUST Office 4、JUST Office 3、JUST Office 2
JUST Government 5、JUST Government 4、JUST Government 3、JUST Government 2
JUST Police 5、JUST Police 4、JUST Police 3、JUST Police 2
JUST Medical 5、JUST Medical 4、JUST Medical 3、JUST Medical
一太郎Pro 5、一太郎Pro 4、一太郎Pro 3
一太郎Government 10、一太郎Government 9、一太郎Government 8
JUST Calc 5、JUST Calc 4、JUST Calc 3
JUST Note 5、JUST Note 4、JUST Note 3
JUST Focus 5、JUST Focus 4、JUST Focus 3

・ATOK
ATOK Pro 5 for Windows、ATOK Pro 4 for Windows、ATOK Pro 3 for Windows
ATOK Medical 3 for Windows、ATOK Medical 2 for Windows

・花子
花子Pro 5、花子Pro 4、花子Pro 3
花子Police 7、花子Police 6、花子Police 5

・JUST PDF
JUST PDF 5 Pro、JUST PDF 5
JUST PDF 4 [作成・高度編集・データ変換]、JUST PDF 4 [作成・編集・データ変換]
JUST PDF 4 [作成・編集]、JUST PDF 4 [作成・データ変換]
JUST PDF 3 [作成・高度編集・データ変換]、JUST PDF 3 [作成・編集・データ変換]
JUST PDF 3 [作成・編集]、JUST PDF 3 [作成・データ変換]

・Shuriken
Shuriken Pro 7、Shuriken Pro 6

・ホームページ・ビルダー
ホームページ・ビルダー22、ホームページ・ビルダー21、ホームページ・ビルダー20

・ジャストスクール
ジャストスクール7、ジャストスクール6

・ジャストスマイル クラス
ジャストスマイル クラス2

・ジャストスマイル
ジャストスマイル8
ジャストスマイル7
ジャストスマイル6

・ジャストフロンティア
ジャストフロンティア3

・ジャストジャンプ
ジャストジャンプ8
ジャストジャンプ クラス2
ジャストジャンプ クラス

・Tri-De DataProtect
Tri-De DataProtect

 「JUSTオンラインアップデート for J-License」は複数の法人ユーザ向けジャストシステム製品に同梱されており、Windows サービスとして登録されている。「JUSTオンラインアップデート for J-License」から特定のプログラムを起動する際に、実行ファイルのパスが引用符で囲まれておらず、当該 Windows サービスの実行権限で不正なファイルを実行される可能性がある。

 分析結果によると、Windows システムの ACL 設定が、標準ユーザー権限のアカウントから本件を悪用して攻撃できるような形になっていることを想定しているとのこと。

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 保健所職員が資料を個人用端末で写真撮影、フィッシング詐欺に遭い閲覧された可能性

    保健所職員が資料を個人用端末で写真撮影、フィッシング詐欺に遭い閲覧された可能性

  2. 入学選抜に係わる情報をTeams内に誤って格納、生徒14名がアクセス

    入学選抜に係わる情報をTeams内に誤って格納、生徒14名がアクセス

  3. JR東日本グループ「VIEW’s NET」に不正ログイン被害

    JR東日本グループ「VIEW’s NET」に不正ログイン被害

  4. 住和港運へのランサムウェア攻撃、サーバ内のデータが暗号化され使用できず

    住和港運へのランサムウェア攻撃、サーバ内のデータが暗号化され使用できず

  5. Twilioに高度なソーシャルエンジニアリング攻撃、一部顧客アカウント情報が漏えい

    Twilioに高度なソーシャルエンジニアリング攻撃、一部顧客アカウント情報が漏えい

  6. 社員名を詐称したメールを開封し添付ファイルを実行、従業員3名のパソコンがEmotetに感染

    社員名を詐称したメールを開封し添付ファイルを実行、従業員3名のパソコンがEmotetに感染

  7. マイクロソフトが8月のセキュリティ情報公開、MSDT のリモートでコードが実行される脆弱性は悪用の事実を確認済み

    マイクロソフトが8月のセキュリティ情報公開、MSDT のリモートでコードが実行される脆弱性は悪用の事実を確認済み

  8. 「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

    「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

  9. Adobe AcrobatおよびReaderに脆弱性

    Adobe AcrobatおよびReaderに脆弱性

  10. GMOサイバーセキュリティ byイエラエがクレジットカード情報漏えい事故調査機関「PFI」に認定

    GMOサイバーセキュリティ byイエラエがクレジットカード情報漏えい事故調査機関「PFI」に認定

ランキングをもっと見る