公開日:2008/12/12 最終更新日:2009/06/26
JVNVU#926676
Microsoft ワードパッドのテキストコンバータに任意のコードが実行可能な脆弱性
Word 97 ファイル形式用のワードパッドテキストコンバータの処理に問題があり、任意のコードを実行される脆弱性が存在します。
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2
- Windows XP Professional x64 Edition および Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition および Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 for Itanium-based Systems および Windows Server 2003 with SP2 for Itanium-based Systems
詳しくは、ベンダが提供する情報をご確認ください。
Microsoft ワードパッドは Windows OS に標準搭載されているテキストエディタです。ワードパッドにはテキストコンバータ機能があり、Microsoft Office Word 形式のファイルを開くことができます。
Word 97 ファイル形式用のワードパッドテキストコンバータには、ファイルの処理に問題があり、結果として、遠隔の第三者により細工されたファイルを処理する際に任意のコードを実行される可能性があります。
なお、本脆弱性を使用した攻撃活動が観測されています。
遠隔の第三者により任意のコードを実行される可能性があります。
アップデートする
Microsoft の提供する情報をもとにアップデートを行なってください。
ワークアラウンドを実施する
以下の回避策を行うことで想定される影響を軽減できる可能性があります。
- Word 97 ファイル形式用のワードパッドテキストコンバータを無効にする
詳細はマイクロソフト セキュリティ アドバイザリ (960906) の回避策をご覧ください。
| ベンダ | リンク |
| マイクロソフト | マイクロソフト セキュリティ アドバイザリ (960906) |
| マイクロソフト セキュリティ情報 MS09-010 |
-
US-CERT Vulnerability Note VU#926676
Microsoft WordPad Text Converter vulnerable to remote code execution
2009年4月15日公開の MS09-010 にて、更新プログラムがリリースされました。
2008.12.12における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2008-4841 |
| JVN iPedia |
JVNDB-2008-002202 |
- 2009/04/23
- 更新プログラムに関する記述を追記しました。
- 2009/06/26
- 関連文書に JVN iPedia へのリンクを追加しました。
