マイクロソフト Office Publisherに遠隔操作でコードを実行される脆弱性を発見

概要：　
フォーティネットのグローバル セキュリティ リサーチ チームは、マイクロソフト Office Publisherに、遠隔コード実行を引き起こす恐れのある、オブジェクトハンドラの検証の脆弱性を発見しました。


種類：
●遠隔コード実行


危険度：
● 緊急


対象ソフトウェア：　
● Microsoft Publisher 2000 Service Pack 3
● Microsoft Publisher 2002 Service Pack 3
● Microsoft Publisher 2003 Service Pack 2
● Microsoft Publisher 2003 Service Pack 3
● Microsoft Publisher 2007
● Microsoft Publisher 2007 Service Pack 1


詳細：　
この脆弱性は、Publisher(.pub)ファイル内にあるオブジェクトヘッダーの妥当性を検証する際に生じます。攻撃者は、遠隔操作により悪意のあるPublisherファイルを作成し、犠牲者となる可能性のあるターゲットにそのファイルを開封するよう仕向けます。ファイルが開かれると、埋め込まれた悪意のあるコードが自動的に実行され、システムを完全に制御される可能性があります。


対処方法：　
● マイクロソフトが提供する、ソリューションの適応 (MS08-027) ※1

参照：　
● Microsoft Bulletin: MS08-27 （※1）
● CVE ID: CVE-2008-0119（※2）
※1：リンク
※2：リンク


承認機関：　
● フォーティネット　グローバル セキュリティ リサーチ チーム


免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。


＜報道関係者様問い合わせ先＞
フォーティネットジャパン広報事務局
株式会社トークス
担当：橋場／鶴澤
TEL: 03-3261-7715

フォーティネット会社概要 リンク
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション（ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど）を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。
フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定（ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム）を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。