未パッチのMicrosoft Wordの脆弱性に関する脆弱性実証コードが公表される

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-06-24 14:47

 あるセキュリティ研究者が、Microsoft Wordに普遍的に影響がある、致命的だと思われる未パッチのメモリ破損脆弱性に対するデモ用の脆弱性実証コードを公開した。

 この脆弱性実証コードには、このセキュリティホールはMicrosoft Office 2000とMicrosoft Office 2003に影響があるという警告が付されている。不正な操作を行うように作られた.docファイルに加え、プログラムをクラッシュさせる攻撃シナリオを実演する2つの動画が存在する。

 勧告には次のようにある。

 攻撃者は被害者に悪質なWordファイルを開かせ、接触させることでこの問題を悪用する。

 この問題の悪用に成功すると、メモリ破損が引き起こされアプリケーションはクラッシュする。この問題の性質から、攻撃者は現在ログインしているユーザーのコンテクストで任意のコードを実行することもできる可能性がある。

 以下に脆弱性実証コードへのリンクを示す(ダウンロードと実行は自己責任で行って欲しい)。

 (参照:Free Sourcefire tool pinpoints hostile MS Office files

 SANS Instituteは同社の@Risk newsletterで警告を出しており、これはWordの箇条書きに対する処理で生じている問題だと述べている。

 この脆弱性の悪用に成功すると、攻撃者は現在のユーザーの特権で任意のコードを実行することができる。ここで注意すべきは、現在のMicrosoft Officeのバージョンでは、Word文書はユーザーに入力を求めることなく受信次第開かれるということだ。

 問い合わせを行ったところ、Microsoftからこの問題について電子メールで次のようなメッセージが得られた。

 MicrosoftはMicrosoft Officeに脆弱性が存在するのではないかという、新しく公に行われている指摘について調査を行っている。われわれは現在指摘されている脆弱性を利用した攻撃や、顧客への影響については承知していない。われわれは、脆弱性を確認できれば、顧客が自衛できる方法を調べる手順を踏む予定だ。

 調査が終了した段階で、われわれは顧客を保護するための適切な行動を取る予定となっている。これには、月例リリースの際にセキュリティアップデートの提供することや、不定期のアップデートの提供、顧客が自衛するための追加的なガイダンスの提供などが含まれる。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]