公開日:2007/02/16 最終更新日:2007/02/16
JVNVU#332404
Microsoft Word に文字列を適切に処理できない脆弱性
緊急
Microsoft Word には、文字列を適切に処理できない脆弱性が存在します。細工されたドキュメントを開くことによって、任意のコードが実行される可能性があります。また、この脆弱性を使用した攻撃活動が報告されています(米 CERT/CC VU#332404)。
- Microsoft Word 2000
- Microsoft Word XP
- Microsoft Office 2000
- Microsoft Office XP
2007/02/16 現在、修正パッチは提供されていません。
回避策として、不審なファイルは閲覧しないことを推奨します。
また、Internet Explorer から Office ドキュメントを開く際、必ず確認メッセージを表示するように設定するツール「Office ファイルを開くときに確認するツール」が提供されています。
詳しくはベンダが提供する情報をご確認ください。
巧妙に細工された Office ドキュメントを閲覧することにより、ユーザの権限で任意のコードを実行される可能性があります。管理者権限のアカウントでユーザがログインしている場合、結果としてシステムを完全に制御される可能性があります。
ベンダ | リンク |
Microsoft | マイクロソフト セキュリティ アドバイザリ (933052):Microsoft Word の脆弱性により、リモートでコードが実行される |
Microsoft | Office ファイルを開くときに確認するツール |
-
US-CERT Vulnerability Note VU#332404
Microsoft Word fails to properly handle malformed strings -
@police
@police-マイクロソフト社のMicrosoft Wordの脆弱性について(2/15)
2007.02.16における脆弱性分析結果 緊急
評価尺度 | 攻撃成立条件 | 評価値 |
---|---|---|
攻撃経路 | インターネット経由からの攻撃が可能 |
|
認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE |
CVE-2007-0870 VU#332404 |
JVN iPedia |