公開日:2007/02/06 最終更新日:2007/02/06
JVNVU#613740
Microsoft Office 製品において任意のコードが実行される脆弱性
緊急
Microsoft Office には細工された文字列を適切に処理できない脆弱性があります。細工されたドキュメントを開くことによって、任意のコードが実行される可能性があります。また、この脆弱性を使用した Excel ファイルでの攻撃活動が報告されています。その他の Office アプリケーションにおいてもこの脆弱性の影響を受けるとの報告があります(米 CERT/CC VU#613740)。
2007/02/06 現在、修正パッチは提供されていません。
回避策として、不審なファイルは閲覧しないことを推奨します。
また、Internet Explorer から Office ドキュメントを開く際、必ず確認メッセージを表示するように設定するツール「Office ファイルを開くときに確認するツール」が提供されています。
詳しくはベンダが提供する情報をご確認ください。
巧妙に細工された Office ドキュメントを閲覧することにより、ユーザの権限で任意のコードを実行される可能性があります。管理者権限のアカウントでユーザが細工された Office ドキュメントを閲覧することにより、結果としてシステムを完全に制御される可能性があります。
| ベンダ | リンク |
| Microsoft | マイクロソフト セキュリティ アドバイザリ (932553): Microsoft Office の脆弱性により、リモートでコードが実行される |
| Microsoft | Office ファイルを開くときに確認するツール |
-
Vulnerability Note VU#613740
Microsoft Office unspecified vulnerability -
@police
@police-マイクロソフト社の Microsoft Office の脆弱性について(2/3)
2007.02.06における脆弱性分析結果 緊急
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2007-0671 VU#613740 |
| JVN iPedia |
