JVNVU#90967793
Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性

Microsoft Office 数式エディタには、スタックベースのバッファオーバーフローの脆弱性が存在します。

• Microsoft Office 2007 Service Pack 3
• Microsoft Office 2010 Service Pack 2 (32-bit edition)
• Microsoft Office 2010 Service Pack 2 (64-bit edition)
• Microsoft Office 2013 Service Pack 1 (32-bit edition)
• Microsoft Office 2013 Service Pack 1 (64-bit edition)
• Microsoft Office 2016 (32-bit edition)
• Microsoft Office 2016 (64-bit edition)

Microsoft 数式エディタは Microsoft Office に付属するコンポーネントです。Microsoft Office 数式エディタにはスタックベースのバッファオーバーフローの脆弱性 (CWE-121) が存在します。

最近のソフトウェアでは、メモリ破損の脆弱性に対して DEP や ASLR などの保護、さらには CFG といった保護を組み込むことによって影響を緩和する対策を行っています。しかしこのコンポーネントには、最新の Microsoft Office 2016 のバージョンであっても、上記のような保護機構が組み込まれておらず、コード実行などの攻撃が容易になっています。

Microsoft 数式エディタは eqnedt32.exe で提供される out-of-process COM サーバーであるため、MS Office アプリケーションに対する保護の範囲外にあります。例えば RTF 文書を使った攻撃が行われる場合、文書は Microsoft Word で開かれますが、eqnedt32.exe は Windows DCOM Server Process Launcher service によって呼び出されるため、Microsoft Office のプログラムに対する EMET や Windows Defender Exploit Guard などの保護機構は働きません。同様の理由で Windows Defender Exploit Guard Attack Surface Reduction (ASR) による保護も行われません。

Windows 7 のユーザで、かつ システムレベルで EMET の ASLR を「常にオン」に設定している場合には、この脆弱性に対する攻撃から保護されます。一方 Windows 10 の場合、Windows 7 のようなシステムレベルでの ASLR 設定はできないため、この脆弱性に対する対策を行う必要があります。

細工された Office 文書を閲覧した場合に、ユーザの権限で任意のコードが実行される可能性があります。

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

数式エディタを無効化する
以下のようにレジストリを設定することで、Microsoft Office において数式エディタを無効化することが可能です。

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
    "Compatibility Flags"=dword:00000400

EMET もしくは Windows Defender Exploit Guard を eqnedt32.exe に適用する
eqnedt32.exe に Windows が提供する保護機構を適用してください。
とくに、ASLR を有効にすることで発見者の提供する情報で説明されている攻撃を防ぐことが可能です。