マイクロソフト セキュリティ情報 MS08-044 - 緊急
Microsoft Office フィルターの脆弱性により、リモートでコードが実行される (924090)
概説
要点
このセキュリティ更新プログラムは、非公開で報告された 5 件の脆弱性を解決します。これらの脆弱性により、ユーザーが Microsoft Office を使用して特別な細工がされたイメージ ファイルを表示すると、リモートでコードが実行される可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
このセキュリティ更新プログラムは Microsoft Office 2000 のサポートされているエディションについて深刻度「緊急」、Microsoft Office XP Service Pack 3、Microsoft Office 2003 Service Pack 2、Microsoft Project 2002 Service Pack 1、Microsoft Office Converter Pack および Microsoft Works 8 のサポートされているエディションについて「重要」と評価されています。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。
この更新プログラムは、Microsoft Office が割り当てられたバッファにファイルを渡す前に、そのファイルの長さを解析する方法を変更することにより、これらの脆弱性を排除します。この脆弱性に関する詳細情報は、次の「脆弱性の情報」のセクションの下の特定の脆弱性のエントリに関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。
推奨する対応策: マイクロソフトは、お客様に直ちにこの更新プログラムを適用することを推奨します。
既知の問題: なし
US マイクロソフトセキュリティ情報: http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx
影響を受けるソフトウェアおよび影響を受けないソフトウェア
次の影響を受けるソフトウェアおよび影響を受けないソフトウェアの表では、サポート ライフサイクルが終了したソフトウェア バージョンは含んでいません。ご使用中の製品およびバージョンのサポートライフ サイクルを確認するためには、マイクロソフト サポート ライフサイクルの Web サイトをご覧ください。
影響を受けるソフトウェアおよびそのダウンロード先:
このマークをクリックして、PC/AT 互換機用または NEC PC-9800 シリーズ用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。
| Office スイートおよびその他のソフトウェア | PC/AT および PC-9800 | 最も深刻な脆弱性の影響 | 総合的な深刻度 | この更新プログラムにより置き換えられるセキュリティ情報 |
| Microsoft Office スイートおよびコンポーネント | ||||
Microsoft Office 2000 Service Pack 3
|
| リモートでコードが実行される | 緊急 | |
Microsoft Office XP Service Pack 3
|
| リモートでコードが実行される | 重要 | |
Microsoft Office 2003 Service Pack 2
|
| リモートでコードが実行される | 重要 | |
| その他の Office ソフトウェア | ||||
Microsoft Office Project 2002 Service Pack 1
|
| リモートでコードが実行される | 重要 | |
Microsoft Office Converter Pack
|
| リモートでコードが実行される | 重要 | なし |
Microsoft Works 8
|
| リモートでコードが実行される | 重要 | なし |
*この影響を受けるソフトウェアの更新プログラムは Microsoft Office XP Service Pack 3 用の更新プログラムと同じものです。
影響を受けないソフトウェア
| Office およびその他のソフトウェア |
Microsoft Visio 2002 |
Microsoft Visio 2003 |
Microsoft Office 2003 Service Pack 3 |
Microsoft Project Server 2003 Service Pack 3 |
2007 Microsoft Office System および 2007 Microsoft Office System Service Pack 1 |
Microsoft Project Server 2007 |
Excel、PowerPoint、Word および Visio 用の Microsoft Office Viewer 2003 および Microsoft Office Viewer 2003 Service Pack 3 |
Excel、PowerPoint、Word および Visio 用の Microsoft Office Viewer 2007 および Microsoft Office Viewer 2007 Service Pack 1 |
Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックおよび Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック Service Pack 1 |
Microsoft Office InfoPath 2003 |
Microsoft Office InfoPath 2007 |
Microsoft Office OneNote 2003 |
Microsoft Office OneNote 2007 |
Microsoft Works 9.0 |
Microsoft Works Suite 2005 |
Microsoft Works Suite 2006 |
Microsoft Office 2004 for Mac |
Microsoft Office 2008 for Mac |
このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ) |
脆弱性の詳細
深刻度および脆弱性識別番号 |
Microsoft の不正な形式の EPS フィルターの脆弱性 - CVE-2008-3019 |
Microsoft Office フィルターが不正な形式のグラフィックス イメージを処理する方法にリモートでコードが実行される脆弱性が存在します。攻撃者は特別な細工がされた Encapsulated PostScript (EPS) ファイルを作成することにより、この脆弱性を悪用し、これによりユーザーが Microsoft Office アプリケーションでそのファイルを開いた場合リモートでコードが実行される可能性があります。このような特別に細工されたファイルは、電子メールの添付ファイルに含まれているか、または悪意のある、または侵害された Web サイトにホストされている可能性があります。この脆弱性を悪用して、攻撃者は影響を受けるコンピューターを完全に制御する可能性があります。しかし脆弱性が悪用されるにはユーザーによる明らかな操作が攻撃者にとっての必要条件となります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2008-3019 をご覧ください。
「Microsoft の不正な形式の EPS フィルターの脆弱性」の問題を緩和する要素 - CVE-2008-3019: |
「Microsoft の不正な形式の EPS フィルターの脆弱性」の回避策 - CVE-2008-3019: |
「Microsoft の不正な形式の EPS フィルターの脆弱性」のよく寄せられる質問 - CVE-2008-3019: |
Microsoft の不正な形式の PICT フィルターの脆弱性 - CVE-2008-3018 |
Microsoft Office が PICT 形式のイメージ ファイルを処理する方法にリモートでコードが実行される脆弱性が存在します。Microsoft Office アプリケーションが特別に作成された PICT 形式のイメージ ファイルを開く際に、この脆弱性が悪用される可能性があります。このような特別に細工されたファイルは、電子メールの添付ファイルに含まれているか、または悪意のある、または侵害された Web サイトにホストされている可能性があります。この脆弱性を悪用して、攻撃者は影響を受けるコンピューターを完全に制御する可能性があります。しかし脆弱性が悪用されるにはユーザーによる明らかな操作が攻撃者にとっての必要条件となります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2008-3018 をご覧ください。
「Microsoft の不正な形式の PICT フィルターの脆弱性」の問題を緩和する要素 - CVE-2008-3018: |
「Microsoft の不正な形式の PICT フィルターの脆弱性 」の回避策- CVE-2008-3018: |
「Microsoft の不正な形式の PICT フィルターの脆弱性」のよく寄せられる質問 - CVE-2008-3018: |
Microsoft PICT フィルター解析の脆弱性 - CVE-2008-3021 |
Microsoft Office が PICT 形式のイメージ ファイルを処理する方法にリモートでコードが実行される脆弱性が存在します。Microsoft Office アプリケーションが特別に作成された PICT 形式のイメージ ファイルを開く際に、この脆弱性が悪用される可能性があります。このような特別に細工されたファイルは、電子メールの添付ファイルに含まれているか、または悪意のある、または侵害された Web サイトにホストされている可能性があります。この脆弱性を悪用して、攻撃者は影響を受けるコンピューターを完全に制御する可能性があります。しかし脆弱性が悪用されるにはユーザーによる明らかな操作が攻撃者にとっての必要条件となります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2008-3021 をご覧ください。
「Microsoft PICT フィルター解析の脆弱性」の問題を緩和する要素 - CVE-2008-3021: |
「Microsoft PICT フィルター解析の脆弱性」の回避策- CVE-2008-3021: |
「Microsoft PICT フィルター解析の脆弱性」のよく寄せられる質問 - CVE-2008-3021: |
Microsoft の不正な形式の BMP フィルターの脆弱性 - CVE-2008-3020 |
Microsoft Office が BMP 形式のイメージ ファイルを処理する方法にリモートでコードが実行される脆弱性が存在します。Microsoft Office アプリケーションが特別に作成された BMP 形式のイメージ ファイルを開く際に、この脆弱性が悪用される可能性があります。このような特別に細工されたファイルは、電子メールの添付ファイルに含まれているか、または悪意のある、または侵害された Web サイトにホストされている可能性があります。この脆弱性を悪用して、攻撃者は影響を受けるコンピューターを完全に制御する可能性があります。しかし脆弱性が悪用されるにはユーザーによる明らかな操作が攻撃者にとっての必要条件となります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2008-3020 をご覧ください。
「Microsoft の不正な形式の BMP フィルターの脆弱性」の問題を緩和する要素 - CVE-2008-3020: |
「Microsoft の不正な形式の BMP フィルターの脆弱性」の回避策- CVE-2008-3020: |
「Microsoft の不正な形式の BMP フィルターの脆弱性 」のよく寄せられる質問 - CVE-2008-3020: |
Microsoft Office WPG イメージ ファイルのヒープ破損の脆弱性 - CVE-2008-3460 |
Microsoft Office が WordPerfect Graphics (WPG) 形式のイメージ ファイルを処理する方法にリモートでコードが実行される脆弱性が存在します。Microsoft Office が特別な作工がされた WPG 形式のイメージ ファイルまたは不正な形式の WPG 画像が埋め込まれた WordPerfect 文書ファイルが開かれた場合にこの脆弱性が悪用される可能性があります。このような特別に細工されたファイルは、電子メールの添付ファイルに含まれているか、または悪意のある、または侵害された Web サイトにホストされている可能性があります。この脆弱性を悪用して、攻撃者は影響を受けるコンピューターを完全に制御する可能性があります。しかし脆弱性が悪用されるにはユーザーによる明らかな操作が攻撃者にとっての必要条件となります。
Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性をご覧になるためには、CVE-2008-3460 をご覧ください。
「Microsoft Office WPG イメージ ファイルのヒープ破損の脆弱性」の問題を緩和する要素 - CVE-2008-3460: |
「Microsoft Office WPG イメージ ファイルのヒープ破損の脆弱性」の回避策 - CVE-2008-3460: |
「Microsoft Office WPG イメージ ファイルのヒープ破損の脆弱性」のよく寄せられる質問 - CVE-2008-3460: |
セキュリティ更新プログラムに関する情報
検出および展開ツールとガイダンス |
セキュリティ更新プログラムの展開 |
影響を受けるソフトウェア
影響を受けるソフトウェアに関する特定のセキュリティ更新プログラムについての情報は、該当のリンクをご覧ください。
Office 2000 (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
今後のこのソフトウェア向けのサービス パックは計画されていません。この問題に対する修正は今後リリースされる更新プログラムのロールアップに含まれる可能性があります。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | office2000-KB921595-FullFile-JPN /q:a |
再起動しないインストール | office2000-KB921595-FullFile-JPN /r:n |
ログファイル | 対象外 |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。機能を選択してインストールする機能については、このセクションのサブセクション「管理者インストール用の Office の機能」をご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | このセキュリティ更新プログラムは再起動を必要としません。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
この更新プログラムのインストール後、削除はできません。更新プログラムがインストールされる前に、インストールを以前の状態に戻すには、アプリケーションを削除し、元のメディアから再インストールする必要があります。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
対象外 | |
ファイル情報 |
管理者インストール用の Office の機能 |
展開に関する情報 |
Office XP (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
今後のこのソフトウェア向けのサービス パックは計画されていません。この問題に対する修正は今後リリースされる更新プログラムのロールアップに含まれる可能性があります。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | officexp-KB921596-FullFile-JPN /q:a |
再起動しないインストール | officexp-KB921596-FullFile-JPN /r:n |
ログファイル | 対象外 |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。機能を選択してインストールする機能については、このセクションのサブセクション「管理者インストール用の Office の機能」をご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | このセキュリティ更新プログラムは再起動を必要としません。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用します。 注: この更新プログラムを削除する場合、CD ドライブに Microsoft Office XP の CD を挿入するようメッセージが表示される場合があります。さらに、[コントロール パネル] の [アプリケーションの追加と削除] から更新プログラムを削除するオプションがない場合もあります。この問題について、いくつかの考えられる原因があります。削除に関する詳細情報は、サポート技術情報 903771 をご覧ください。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
対象外 | |
ファイル情報 |
管理者インストール用の Office の機能 |
展開に関する情報 |
Office 2003 (すべてのエディション) |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する更新プログラムは今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | office2003-KB921598-FullFile-JPN /q:a |
再起動しないインストール | office2003-KB921598-FullFile-JPN /r:n |
ログファイル | 対象外 |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。機能を選択してインストールする機能については、このセクションのサブセクション「管理者インストール用の Office の機能」をご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | このセキュリティ更新プログラムは再起動を必要としません。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用します。 注: この更新プログラムを削除する場合、CD ドライブに Microsoft Office 2003 の CD を挿入するようメッセージが表示される場合があります。さらに、[コントロール パネル] の [アプリケーションの追加と削除] から更新プログラムを削除するオプションがない場合もあります。この問題について、いくつかの考えられる原因があります。削除に関する詳細情報は、サポート技術情報 903771 をご覧ください。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
対象外 | |
ファイル情報 |
管理者インストール用の Office の機能 |
展開に関する情報 |
Microsoft Office Converter Pack |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する更新プログラムは今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | office2003-KB925256-FullFile-ENU /q:a |
再起動しないインストール | office2003-KB925256-FullFile-ENU /r:n |
ログファイル | 対象外 |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。機能を選択してインストールする機能については、このセクションのサブセクション「管理者インストール用の Office の機能」をご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | このセキュリティ更新プログラムは再起動を必要としません。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用します。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
対象外 | |
ファイル情報 |
展開に関する情報 |
Microsoft Works 8 |
参照表
次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。
| 参照表 | |
| この修正を含む予定のサービスパック | |
この問題に対する更新プログラムは今後リリースされるサービス パックまたは更新プログラムのロールアップに含まれる予定です。 | |
| 展開 | |
ユーザーによる操作を必要としないインストール | KB955428_ja-JP /q:a |
再起動しないインストール | KB955428_ja-JP /r:n |
ログファイル | 対象外 |
詳細 | 「検出および展開ツールとガイダンス」のセクションをご覧ください。機能を選択してインストールする機能については、このセクションのサブセクション「管理者インストール用の Office の機能」をご覧ください。 |
| 再起動に関する情報 | |
再起動の必要性 | このセキュリティ更新プログラムは再起動を必要としません。 |
ホットパッチ | 対象外 |
| 削除に関する情報 | |
[コントロール パネル] の [プログラムの追加と削除] を使用します。 | |
| ファイル情報 | |
このセクション内のサブセクション「ファイル情報」をご覧ください。 | |
| レジストリキーの確認 | |
対象外 | |
ファイル情報 |
展開に関する情報 |
その他の情報
謝辞
この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。
| • | 「Microsoft の不正な形式の PICT フィルターの脆弱性」 - CVE-2008-3018 を報告してくださった NGS Software の Shaun Colley 氏 |
| • | 「Microsoft PICT フィルター解析の脆弱性」 - CVE-2008-3021 を報告してくださった Zero Day Initiative (ZDI) に協力している Damian Put 氏 |
| • | 「Microsoft PICT フィルターの解析の脆弱性」 - CVE-2008-3020 を報告してくださった iDefense VCP |
| • | 「Microsoft Office WPG イメージ ファイルのヒープ破損の脆弱性」 - CVE-2008-3460 を報告してくださった iDefense VCP に協力している Damian Put 氏 |
サポート
| • | セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。 |
| • | その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。 |
免責条項
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
| • | 2008/08/13: このセキュリティ情報ページを公開しました。 |
| • | 2008/08/14: このセキュリティ情報を更新し、Microsoft Office Project 2002 Service Pack 1 用のセキュリティ更新プログラムが Microsoft Office XP Service Pack 3 用と同じセキュリティ更新プログラムであるという説明を追加しました。この更新プログラムが正常にインストールされている場合、この更新プログラムの再インストールの必要はありません。 |