「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月28日、「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。株式会社サイバーディフェンス研究所の松隈大樹氏が報告を行っている。

　影響を受けるシステムは「JUSTオンラインアップデート for J-License」 (法人のお客様向けのアップデート機能) で、添付されているサポート中の商品は下記の通り。

・オフィス・オフィス統合ソフト
JUST Office 5、JUST Office 4、JUST Office 3、JUST Office 2
JUST Government 5、JUST Government 4、JUST Government 3、JUST Government 2
JUST Police 5、JUST Police 4、JUST Police 3、JUST Police 2
JUST Medical 5、JUST Medical 4、JUST Medical 3、JUST Medical
一太郎Pro 5、一太郎Pro 4、一太郎Pro 3
一太郎Government 10、一太郎Government 9、一太郎Government 8
JUST Calc 5、JUST Calc 4、JUST Calc 3
JUST Note 5、JUST Note 4、JUST Note 3
JUST Focus 5、JUST Focus 4、JUST Focus 3

・ATOK
ATOK Pro 5 for Windows、ATOK Pro 4 for Windows、ATOK Pro 3 for Windows
ATOK Medical 3 for Windows、ATOK Medical 2 for Windows

・花子
花子Pro 5、花子Pro 4、花子Pro 3
花子Police 7、花子Police 6、花子Police 5

・JUST PDF
JUST PDF 5 Pro、JUST PDF 5
JUST PDF 4 [作成・高度編集・データ変換]、JUST PDF 4 [作成・編集・データ変換]
JUST PDF 4 [作成・編集]、JUST PDF 4 [作成・データ変換]
JUST PDF 3 [作成・高度編集・データ変換]、JUST PDF 3 [作成・編集・データ変換]
JUST PDF 3 [作成・編集]、JUST PDF 3 [作成・データ変換]

・Shuriken
Shuriken Pro 7、Shuriken Pro 6

・ホームページ・ビルダー
ホームページ・ビルダー22、ホームページ・ビルダー21、ホームページ・ビルダー20

・ジャストスクール
ジャストスクール7、ジャストスクール6

・ジャストスマイル クラス
ジャストスマイル クラス２

・ジャストスマイル
ジャストスマイル８
ジャストスマイル７
ジャストスマイル６

・ジャストフロンティア
ジャストフロンティア３

・ジャストジャンプ
ジャストジャンプ８
ジャストジャンプ クラス２
ジャストジャンプ クラス

・Tri-De DataProtect
Tri-De DataProtect

　「JUSTオンラインアップデート for J-License」は複数の法人ユーザ向けジャストシステム製品に同梱されており、Windows サービスとして登録されている。「JUSTオンラインアップデート for J-License」から特定のプログラムを起動する際に、実行ファイルのパスが引用符で囲まれておらず、当該 Windows サービスの実行権限で不正なファイルを実行される可能性がある。

　分析結果によると、Windows システムの ACL 設定が、標準ユーザー権限のアカウントから本件を悪用して攻撃できるような形になっていることを想定しているとのこと。

　JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。