[MS03-036] WordPerfect コンバータのバッファ オーバーランにより、コードが実行される

文書翻訳 文書翻訳
文書番号: 827103 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
(Works Suite 2002 および 2003 は、英語版のみの製品です。)
すべて展開する | すべて折りたたむ

目次

現象

Microsoft Office に含まれているコンバータを使用することにより、本来の Microsoft Office の形式とは異なる形式を使用したファイルのインポートおよび編集ができます。これらのコンバータは、Office のデフォルトのインストールに含まれています。また、Microsoft Office Converter Pack として個別に入手することもできます。これらのコンバータは Office for Macintosh やサードパーティのプロダクティビティ アプリケーションなど、以前のバージョンの Office やその他のアプリケーションが混在する環境で Microsoft Office を使用する組織で役立ちます。

Microsoft WordPerfect コンバータが Corel WordPerfect 文書を処理する方法に問題があります。WordPerfect 文書を開く際に、コンバータが特定のパラメータを適切に検証しないため、未チェックのバッファが存在し、セキュリティ上の脆弱性が存在します。このため、攻撃者が作成した悪質な WordPerfect 文書を、WordPerfect コンバータを使用するアプリケーションで開くと、攻撃者の選択したコードが実行される可能性があります。Microsoft Word および Microsoft PowerPoint (Microsoft Office 製品の一部)、FrontPage (Office 製品の一部、または独立した製品)、Publisher および Microsoft Works Suite では Microsoft Office WordPerfect コンバータが使用可能です。

ユーザーが悪質な WordPerfect 文書を開くことが、攻撃者がこの脆弱性を悪用するための必要条件です。攻撃者が、ユーザーが文書を開くように強制することや、この脆弱性を悪用して電子メールから自動的に攻撃が実行されるようにすることはできません。
問題を緩和する要素
  • ユーザーが悪質な文書を開かない限り、攻撃は実行されません。攻撃者が、文書が自動的に開かれるようにすることはできません。
  • この脆弱性は、電子メールを介して自動的に悪用されることはありません。ユーザーが電子メール メッセージで送信された添付ファイルを開かない限り、電子メールによる攻撃は実行されません。
  • Microsoft Outlook Express 6.0 および Microsoft Outlook 2002 では、デフォルトでプログラムによるアドレス帳へのアクセスはブロックされます。また、Microsoft Outlook 98 および Microsoft Outlook 2000 では、Outlook 電子メール セキュリティ アップデートがインストールされている場合、プログラムによる Outlook のアドレス帳へのアクセスはブロックされます。これらの製品のいずれかを使用している場合は、ユーザーが、この脆弱性を悪用する電子メール攻撃を広めるおそれはありません。

解決方法

セキュリティ修正プログラムの情報

ダウンロードとインストールの情報

次のいずれかのプログラムを使用している場合は、後述の資料を参照してください。
  • Microsoft Office XP
  • Microsoft FrontPage 2002
  • Microsoft Publisher 2002
  • Microsoft Works 2003
  • Microsoft Works 2002
    (Works Suite 2002 および 2003 は、英語版のみの製品です。)
Office XP、FrontPage 2002、Publisher 2002、Works 2002 および Works 2003 用の修正プログラムは以下のサイトから入手することができます。
http://www.microsoft.com/downloads/details.aspx?FamilyId=EC563DEE-6BFB-431D-B39E-2D672C0C223F&displaylang=ja
管理者用アップデートは以下のサイトから入手することができます。
http://download.microsoft.com/download/d/7/b/d7b293da-50e1-45a6-ad06-86be05858791/officexp-kb824938-fullfile-jpn.exe
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
824938 Office XP WordPerfect 5.x コンバータ セキュリティ アップデート (2003 年 9 月 3 日) の概要


次のいずれかのプログラムを使用している場合は、後述の資料を参照してください。
  • Microsoft Office 2000
  • Microsoft FrontPage 2000
  • Microsoft Publisher 2000
  • Microsoft Works 2001
Office 2000、FrontPage 2000、Publisher 2000 および Works 2001 用の修正プログラムは以下のサイトから入手することができます。
http://www.microsoft.com/downloads/details.aspx?FamilyId=D3ED4189-315A-411A-A739-F7181310FBA7&displaylang=ja
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
824993 Office 2000 WordPerfect 5.x コンバータ セキュリティ アップデート (2003 年 9 月 3 日) の概要

なお、Microsoft Office 2000 以降を使用している場合、修正プログラムの適用時に、インストール元の CD-ROM を要求されます。
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。

828398 [OFF] [MS03-036] 適用時にインストール元を参照し、CD-ROM を要求される


次のいずれかのプログラムを実行している場合は、後述の資料を参照してください。
  • Microsoft Office 97
  • Microsoft Word for Windows 98 (日本語版)
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
827656 Office 97 WordPerfect 5.x コンバータ セキュリティ アップデート (2003 年 9 月 3 日) の概要


アンインストール情報


この修正プログラムは削除できません。

以前の修正プログラムの状態


この修正プログラムを適用しても、他のセキュリティ修正プログラムが置き換えられることはありません。

関連情報

これらの脆弱性の詳細について参照するには、次のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-036.mspx

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 827103 (最終更新日 2003-09-03) を基に作成したものです。

プロパティ

文書番号: 827103 - 最終更新日: 2014年2月26日 - リビジョン: 3.5
この資料は以下の製品について記述したものです。
  • Microsoft Office XP Standard
  • Microsoft Office 2000 Standard
  • Microsoft Office 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft FrontPage 2002 Standard Edition
  • Microsoft FrontPage 2000 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Publisher 2000 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
キーワード:?
kbnosurvey kbarchive kbdownload kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827103
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com