JVNDB-2008-002202
|
Microsoft ワードパッドのテキストコンバータに任意のコードが実行可能な脆弱性
|
|
Word 97 ファイル形式用のワードパッドテキストコンバータの処理に問題があり、任意のコードを実行される脆弱性が存在します。
Microsoft ワードパッドは Windows OS に標準搭載されているテキストエディタです。ワードパッドにはテキストコンバータ機能があり、Microsoft Office Word 形式のファイルを開くことができます。
Word 97 ファイル形式用のワードパッドテキストコンバータには、ファイルの処理に問題があり、結果として、遠隔の第三者により細工されたファイルを処理する際に任意のコードを実行される可能性があります。
2009年4月15日公開の MS09-010 にて、更新プログラムがリリースされました。
なお、本脆弱性を使用した攻撃活動が観測されています。
|
|
CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
マイクロソフト
- Microsoft Windows 2000
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 (itanium)
- Microsoft Windows Server 2003 (x64)
- Microsoft Windows XP sp3
- Microsoft Windows XP (x64)
|
|
|
遠隔の第三者により任意のコードを実行される可能性があります。
|
|
[アップデートする]
Microsoft の提供する情報をもとにアップデートを行なってください。
[ワークアラウンドを実施する]
以下の回避策を行うことで想定される影響を軽減できる可能性があります。
・Word 97 ファイル形式用のワードパッドテキストコンバータを無効にする
詳細はマイクロソフト セキュリティ アドバイザリ (960906) の回避策をご覧ください。
|
|
マイクロソフト
富士通
|
|
- リソース管理の問題(CWE-399) [NVD評価]
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2008-4841
|
|
- JVN : JVNVU#926676
- JVN : JVNTA09-104A
- JVN Status Tracking Notes : JVNTR-2008-07
- National Vulnerability Database (NVD) : CVE-2008-4841
- JPCERT 緊急報告 : JPCERT-AT-2009-0007
- 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS09-009,010,011,012,013,014,015,016)
- US-CERT Cyber Security Alerts : SA09-104A
- US-CERT Vulnerability Note : VU#926676
- US-CERT Technical Cyber Security Alert : TA09-104A
- IPA 緊急対策情報 : 20090415-ms09-010
- Secunia Advisory : SA32997
- SecurityFocus : 32718
- SecurityTracker : 1021376
- VUPEN Security : VUPEN/ADV-2008-3390
|
|
- [2009年01月21日]
掲載
[2009年05月15日]
ベンダ情報: マイクロソフト (MS09-010) を追加
対策:対策方法の記述を更新
[2009年05月28日]
概要:概要の記述を更新しました。
|
