マイクロソフトが月例パッチでOfficeの不具合を修正、4件の緊急のパッチを公開
Microsoftは米国時間5月13日、OfficeとWindows XPの脆弱性に関する4件の緊急のパッチを公開した。公開したパッチは他のものも含め全部で6件になる。
以下ではCVEごとに説明していく。
CVE-2008-1091:MicrosoftはMicrosoft Wordのオブジェクト解析の脆弱性を修正した。影響のあるソフトウェアには、Office 2000、2003、2007が含まれる。Microsoftは次のように説明している。
Microsoft Office が特別な細工がされた Rich Text Format (.rtf) ファイルを処理する方法に、リモートでコードが実行される脆弱性が存在します。ユーザーが不正な形式の文字列で特別な細工がされた .rtf ファイルを Word で開いた場合、または不正な形式の文字列で特別な細工がされた .rtf ファイル をリッチテキスト形式の電子メールでプレビュー表示した場合、この脆弱性によりリモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。
この問題を報告したのはZero Day Initiativeだ。
CVE-2008-1434:Microsoftのアップデートでは、WordのCascading Style Sheet(CSS)の脆弱性を修正している。Microsoftは、「Microsoft Word が特別な細工がされた Word ファイルを処理する方法に、リモートでコードが実行される脆弱性が存在します。この脆弱性は、不正な形式の CSS 値を含む特別な細工がされた Word ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります」と述べている。iDefense Labsに勤務するJun Mao氏がこの脆弱性を発見した。
CVE-2008-0119:MicrosoftはMicrosoft Publisherの脆弱性を修正した。Microsoftは次のように述べている。
Microsoft Publisher がオブジェクトヘッダーのデータを処理する方法に、リモートでコードが実行される脆弱性が存在します。攻撃者は電子メールの添付ファイルとして Publisher ファイルを送信、または悪意のある Web サイトまたは侵害された Web サイトでホストされている特別に細工した Publisher ファイルを開かせ、この脆弱性を悪用する可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、影響を受けるコンピュータが攻撃者に完全に制御される可能性があります。
Fortinet Security ResearchのCocoruder氏がこの脆弱性を発見した。影響があるのはOffice 2000、2003、2007だ。
CVE-2007-6026:MicrosoftはWindows 2000 Service Pack 4、Windows XP、Windows Server 2003のバッファオーバーランの脆弱性を修正した。Microsoftは次のように述べている。
これは Microsoft Jet Database Engine (Jet) に存在するバッファ オーバーランの脆弱性で、影響を受けるコンピュータでリモートでコードが実行される可能性があります。攻撃者は特別な細工がされたデータベースクエリを作成し、影響を受けるコンピュータ上で Jet を使用しているアプリケーションを介して送信することにより、この脆弱性を悪用する可能性があります。攻撃者がこの脆弱性を悪用した場合、影響を受けるコンピュータが完全に制御される可能性があります。
CERT、ISC/SANS、およびTipping Point DVLabsのAaron Portnoy氏がこの脆弱性を報告している。
また、Microsoft Live OneCare、Antigen、Windows Defender、Forefrontに影響のある、深刻度が警告の脆弱性2件が修正されている。
CVE-2008-1437:マイクロソフトは次のように述べている。
Microsoft Malware Protection Engine が特別に細工されたファイルを処理する方法に、サービス拒否の脆弱性が存在します。攻撃者はサービス拒否が起こる可能性のあるファイルを特別に細工して作成し、標的となるコンピュータがファイルを受け取り、Microsoft Malware Protection Engine がそのファイルをスキャンした場合に、この脆弱性を悪用する可能性があります。攻撃者がこの脆弱性を悪用した場合、Microsoft Malware Protection Engine が応答を停止し、Microsoft Malware Protection Engine が自動的に再起動する可能性があります。
CVE-2008-1438:これも同様の脆弱性だが、次の点が異なる。「攻撃者がこの脆弱性を悪用した場合、ディスク領域がなくなり、サービス拒否の状態を引き起こし、自動で再起動する可能性があります」(Microsoft)
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
- この記事を読み解くキーワード:
- セキュリティ情報
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
-
【プラボ注目度ランキング】日本初の家電商品を希望価格で予約購入可能な新ECサイト「プラボ」の注目商品をランキング形式で紹介! (2008/4/19~2008/4/25) 【WillVii 株式会社】
-
Select AppSummary アプリケーションとパフォーマンスのダイナミックな自動検出 【株式会社フルーク】
-
マーチャント・バンクは、Fluke Networks の NetFlow Tracker、NetFlow Monitor、NetWatch を使用し、帯域利用状況をより詳細に把握 【株式会社フルーク】
-
【メールシステム徹底比較】自社構築VSアウトソーシング 【NECビッグローブ株式会社】
-
【導入事例】株式会社TKR様 モノづくりの競争優位を強化するために、アジリティと変化対応力に優れた全社最適システムを構想 【NECソフト株式会社】
関連製品
- リスク管理すいすい ISO27001
● 業務フローの入力だけでリスクチェックリストが自動抽出 ● ISO27001文章作成の期間短縮、リスクの抜け、漏れを大幅削減 ● 内部統制、個人情報保護、品質管理などのリスク評価にも転用可能
【JMCリスクマネジメント】 - WinHEX評価版Ver14.4無料ダウンロード提供を開始
コンピュータフォレンジック、データリカバリ、セキュリティ。様々な局面において活用できるバイナリエディタ。ご購入前のご試用のために、評価版を無料にて提供いたします。 この機会に是非ご試用ください。
【データ復旧センター】 - E-Post BossCheck Server
上長(上司)が部下のメールをチェックし送信許可の可否を判断
【イー・ポスト】
セキュリティ トピックス
DNSの脆弱性に対する攻撃コードが公開される
Kaminsky氏が発見したDNSキャッシュポイズニング脆弱性に対する脆弱性実行コードがMetasploitに追加された。これにより、この脆弱性を修正する緊急性は一気に上昇した。 2008/07/24 10:01 【Zero Day】
脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する
7月8日に多くのベンダが同時にパッチを公開したDNSに関する脆弱性に関する秘密は、発見者のKaminsky氏や関係者が守ろうとした30日間よりもずっと早く明らかになった。この背後で起こった出来事についてまとめる。 2008/07/23 17:02 【Zero Day】
ホワイトペーパー
情報漏えい対策をひもとく
総合的な保護のための要件
NECソフト:実際に操作してみませんか?シンクライアントシステム体験セミナー<抄録>
【Symantec Client Security】
アンチウイルス、クライアントファイアウォール、侵入防止システムを統合し、進化し続ける脅威からクライアントPCを適切に保護
要求どおりのシステムが出来上がらない?「エンドユーザーもにっこり」の要件定義
イベント
- ソフトバンク・テクノロジー株式会社 : B2B企業WEBブランディングセミナー・2008年07月24日
- CompTIA日本支局 : CompTIA Breakaway Japan 2008・2008年08月29日
プレスリリース
- ALBERT : 【見つかる.jpレポート】アロマ(5)精油ランキング編 〜上位は「スイートマジョラム」「サイプレス」〜 ALBERTがレコメンデーションログを分析・2008年07月24日
- アイシェア : 調査結果「両親の誕生日、正しく言えるのは7割。恋人・子供は9割が言える」・2008年07月24日
- イクオリティ : 振り込め詐欺の電話を受けたことがある人は全体の15%。身に覚えのない支払督促メールは25%に上る。 - 振り込め詐欺について調査・2008年07月23日
- ニューズ・ツー・ユー : リリースポータルNews2u.net週間リリースランキング 住宅ローン金利一覧や、WiMAX(ワイマックス)の解説書など、調査データに関するニュースが上位にランクイン ―2008年7月14日〜2008年7月20日―・2008年07月23日
- ALBERT : 【見つかる.jpレポート】アロマ(4)スキンケア・ヘアケア編 〜期待する効果は毛穴の引き締め、推薦された精油トップは「フランキンセンス」〜 ALBERTがレコメンデーションログを分析・2008年07月23日
- リクルート : リクルート「ゼクシィnet」の花嫁専用SNS『花嫁カフェ』がブログ製本サービス『MyBooks.jp』と連携、「日記・アルバム製本サービス」を7月23日開始!・2008年07月23日
- アイシェア : 調査結果「セブン、ファミマ、マルK…コンビニの一般的な略称調査」・2008年07月23日
- アイシェア : 調査結果「朝食必ず取る人は6割強。男性の2割がほとんど食べない派」・2008年07月23日
- ファブリカコミュニケーションズ : 平成20年07月23日 動画で選べる中古車検索サイト【車選び.com】セダン 週間アクセスランキングを発表!・2008年07月23日
- アップデイト : モバイル業界に特化した唯一のPR配信サービスを開始 『MMDモバイルプレス』 http://mmd.up-date.ne.jp/mobilepress/・2008年07月23日
最新記事
- マイクロソフト、Platforms & Services部門を2つに分割
- グーグル社員、「App Engine」でPerl対応を目指すプロジェクトを明らかに
- Firefoxで情報をカンタン・ベンリに整理する
- iPhone Safari、Acidテストでは高得点でも…… Firefoxは載らないの?:WebサイトのiPhone 3G対応問題を考える(ソフト編)
- AMDが製造部門を分社か?--Austin American-Statesmanが報道
- 【24日市況:前場】13500円を目前に伸び悩む
- Glam Media、グーグル幹部を獲得
- DNSの脆弱性に対する攻撃コードが公開される
- iPhoneの「Mail」と「Safari」にフィッシング攻撃の脆弱性
- 「iPhone 3G」ネットワーク環境への不満が米国で噴出
企画特集
ZDNet Japan Green IT- サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ!
ZDNet Japan ホスティング特集- 2008年夏のホスティングサービスのトレンドは何?
DELLが掲げる「新・仮想化アセスメントサービス」- 〜企業システムの仮想化環境の構築を支援〜
Techno Exchange- 仮想化技術がグリーンITにもたらすもの
ブログ
ブログ RSS Feed
洞爺湖と環境と私- 裏方の裏方日記〜日々是広報 2008/05/20 12:57
- その41:ジェスチャー4 〜ジェスチャー再生方法〜 Second Life 新世界的ものづくりのススメ
- LC2008: 発表者2次募集のお知らせ 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- 地域ごとにWebサイトを切り換え(その2) 「ズームイン!IPアドレス」ちょっとドメインも
- builder by ZDNet Japanに移行します あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- バーチャルとリアルの境界線 大競争時代のBI活用術
- 「ダイヤモンドの原石」? - フィリピンのソフトウェア開発企業 アジアIT通信
- builder blog log4day〜1人月からの脱却
- わざと、こぶし1個分あけてみる 真水不足のミッドウェイ
- 愛社精神ならぬ愛製品精神はどう? 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- アプライアンス・サーバーは皆を幸せにする DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- マイクロソフトの頼んでもいない提案を評価するYahoo!取締役会 シリコンバレーの現場から
- 上達しない英語術 エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 事業継続マネジメントシステム認証制度の賢い作り方(2) ITセキュリティー下学上達
- 米国一般家庭のブロードバンド事情 IP Telephony最前線
- CSKに聞く! ITIL成否を分ける要因「なぜPDCAが回らない!?」 (2) ITIL:インサイドストーリー
注目トピックス From CNET Japan
フォトレポート:分解、アップル「iPhone 3G」 - CNET News.comの姉妹サイトであるTechRepublicは、7月11日に発売されたばかりの「iPhone 3G」を早速分解し、その様子を紹介した。
ちょっと変わった「iPhone」向けアプリケーション10種 - 「iTunes」のApp Storeでは、「iPhone」向けのさまざまなアプリケーションが販売または無償で提供されているが、中にはちょっと変わったアプリケーションも存在する。
契約してわかった、iPhoneのさまざまな注意事項 - 7月11日にソフトバンクモバイルから発売された、アップル製携帯電話「iPhone 3G」。その契約手続きの中で、機種変更時の料金やメールの保存期間など、iPhoneが持つさまざまな注意事項が見えてきた。