公開日:2007/02/16 最終更新日:2007/02/16

JVNVU#332404
Microsoft Word に文字列を適切に処理できない脆弱性
緊急

概要


Microsoft Word には、文字列を適切に処理できない脆弱性が存在します。細工されたドキュメントを開くことによって、任意のコードが実行される可能性があります。また、この脆弱性を使用した攻撃活動が報告されています(米 CERT/CC VU#332404)。

影響を受けるシステム

  • Microsoft Word 2000
  • Microsoft Word XP
  • Microsoft Office 2000
  • Microsoft Office XP

    2007/02/16 現在、修正パッチは提供されていません。

  • 回避策として、不審なファイルは閲覧しないことを推奨します。
    また、Internet Explorer から Office ドキュメントを開く際、必ず確認メッセージを表示するように設定するツール「Office ファイルを開くときに確認するツール」が提供されています。

    詳しくはベンダが提供する情報をご確認ください。

詳細情報

想定される影響


巧妙に細工された Office ドキュメントを閲覧することにより、ユーザの権限で任意のコードを実行される可能性があります。管理者権限のアカウントでユーザがログインしている場合、結果としてシステムを完全に制御される可能性があります。

対策方法

参考情報

  1. US-CERT Vulnerability Note VU#332404
    Microsoft Word fails to properly handle malformed strings
  2. @police
    @police-マイクロソフト社のMicrosoft Wordの脆弱性について(2/15)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.02.16における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-0870
VU#332404
JVN iPedia