Microsoftワードパッドに任意のコードを実行される脆弱性

吉澤亨史

2008-12-16 14:43

 有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は12月12日、Word 97ファイル形式用のワードパッドテキストコンバータの処理に問題があり、任意のコードを実行される脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で公表した。

 Microsoftワードパッドは、Windows OSに標準搭載されているテキストエディタ。ワードパッドにはテキストコンバータ機能があり、Microsoft Office Word形式のファイルを開ける。Word 97ファイル形式用のワードパッドテキストコンバータには、ファイルの処理に問題があり、結果として遠隔の第三者により細工されたファイルを処理する際に、任意のコードを実行される可能性があるという。

 この脆弱性の影響を受けるシステムは、「Microsoft Windows 2000 SP 4」「Windows XP SP2」「Windows XP Professional x64 Edition」および「同SP2」「Windows Server 2003 SP1」および「同SP2」「Windows Server 2003 x64 Edition」および「同SP2」「Windows Server 2003 with SP1 for Itanium-based Systems」および「Windows Server 2003 with SP2 for Itanium-based Systems」。

 12月11日現在、この脆弱性の対策方法は公開されていない。なお、Word 97ファイル形式用のワードパッドテキストコンバータを無効にすることで、想定される影響を軽減できる可能性があるとしている。

 JVNではこの脆弱性の危険度について、攻撃経路では「インターネット経由からの攻撃が可能(高)」、認証レベルでは「匿名もしくは認証なしで攻撃が可能(高)」、攻撃成立に必要なユーザーの関与では「リンクをクリックしたり、ファイルを閲覧するなどのユーザー動作で攻撃される(中)」、攻撃の難易度では「専門的知識や運がなくとも攻撃可能(高)」と分析している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

  5. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]