[MS03-036] WordPerfect コンバータのバッファ オーバーランにより、コードが実行される

この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
(Works Suite 2002 および 2003 は、英語版のみの製品です。)
現象
Microsoft Office に含まれているコンバータを使用することにより、本来の Microsoft Office の形式とは異なる形式を使用したファイルのインポートおよび編集ができます。これらのコンバータは、Office のデフォルトのインストールに含まれています。また、Microsoft Office Converter Pack として個別に入手することもできます。これらのコンバータは Office for Macintosh やサードパーティのプロダクティビティ アプリケーションなど、以前のバージョンの Office やその他のアプリケーションが混在する環境で Microsoft Office を使用する組織で役立ちます。

Microsoft WordPerfect コンバータが Corel WordPerfect 文書を処理する方法に問題があります。WordPerfect 文書を開く際に、コンバータが特定のパラメータを適切に検証しないため、未チェックのバッファが存在し、セキュリティ上の脆弱性が存在します。このため、攻撃者が作成した悪質な WordPerfect 文書を、WordPerfect コンバータを使用するアプリケーションで開くと、攻撃者の選択したコードが実行される可能性があります。Microsoft Word および Microsoft PowerPoint (Microsoft Office 製品の一部)、FrontPage (Office 製品の一部、または独立した製品)、Publisher および Microsoft Works Suite では Microsoft Office WordPerfect コンバータが使用可能です。

ユーザーが悪質な WordPerfect 文書を開くことが、攻撃者がこの脆弱性を悪用するための必要条件です。攻撃者が、ユーザーが文書を開くように強制することや、この脆弱性を悪用して電子メールから自動的に攻撃が実行されるようにすることはできません。
問題を緩和する要素
  • ユーザーが悪質な文書を開かない限り、攻撃は実行されません。攻撃者が、文書が自動的に開かれるようにすることはできません。
  • この脆弱性は、電子メールを介して自動的に悪用されることはありません。ユーザーが電子メール メッセージで送信された添付ファイルを開かない限り、電子メールによる攻撃は実行されません。
  • Microsoft Outlook Express 6.0 および Microsoft Outlook 2002 では、デフォルトでプログラムによるアドレス帳へのアクセスはブロックされます。また、Microsoft Outlook 98 および Microsoft Outlook 2000 では、Outlook 電子メール セキュリティ アップデートがインストールされている場合、プログラムによる Outlook のアドレス帳へのアクセスはブロックされます。これらの製品のいずれかを使用している場合は、ユーザーが、この脆弱性を悪用する電子メール攻撃を広めるおそれはありません。
解決方法

セキュリティ修正プログラムの情報

ダウンロードとインストールの情報

次のいずれかのプログラムを使用している場合は、後述の資料を参照してください。
  • Microsoft Office XP
  • Microsoft FrontPage 2002
  • Microsoft Publisher 2002
  • Microsoft Works 2003
  • Microsoft Works 2002
    (Works Suite 2002 および 2003 は、英語版のみの製品です。)
Office XP、FrontPage 2002、Publisher 2002、Works 2002 および Works 2003 用の修正プログラムは以下のサイトから入手することができます。
管理者用アップデートは以下のサイトから入手することができます。
http://download.microsoft.com/download/d/7/b/d7b293da-50e1-45a6-ad06-86be05858791/officexp-kb824938-fullfile-jpn.exe
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
824938 Office XP WordPerfect 5.x コンバータ セキュリティ アップデート (2003 年 9 月 3 日) の概要


次のいずれかのプログラムを使用している場合は、後述の資料を参照してください。
  • Microsoft Office 2000
  • Microsoft FrontPage 2000
  • Microsoft Publisher 2000
  • Microsoft Works 2001
Office 2000、FrontPage 2000、Publisher 2000 および Works 2001 用の修正プログラムは以下のサイトから入手することができます。
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
824993 Office 2000 WordPerfect 5.x コンバータ セキュリティ アップデート (2003 年 9 月 3 日) の概要

なお、Microsoft Office 2000 以降を使用している場合、修正プログラムの適用時に、インストール元の CD-ROM を要求されます。
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。

828398 [OFF] [MS03-036] 適用時にインストール元を参照し、CD-ROM を要求される


次のいずれかのプログラムを実行している場合は、後述の資料を参照してください。
  • Microsoft Office 97
  • Microsoft Word for Windows 98 (日本語版)
詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
827656 Office 97 WordPerfect 5.x コンバータ セキュリティ アップデート (2003 年 9 月 3 日) の概要


アンインストール情報


この修正プログラムは削除できません。

以前の修正プログラムの状態


この修正プログラムを適用しても、他のセキュリティ修正プログラムが置き換えられることはありません。
関連情報
これらの脆弱性の詳細について参照するには、次のマイクロソフト Web サイトにアクセスしてください。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 827103 (最終更新日 2003-09-03) を基に作成したものです。
プロパティ

文書番号:827103 - 最終更新日: 02/26/2014 21:07:05 - リビジョン: 3.5

  • Microsoft Office XP Standard
  • Microsoft Office 2000 Standard
  • Microsoft Office 97 Standard Edition
  • Microsoft Word 98 Standard Edition
  • Microsoft FrontPage 2002 Standard Edition
  • Microsoft FrontPage 2000 Standard Edition
  • Microsoft Publisher 2002 Standard Edition
  • Microsoft Publisher 2000 Standard Edition
  • Microsoft Works Suite 2003 Standard Edition
  • Microsoft Works Suite 2002 Standard Edition
  • Microsoft Works Suite 2001 Standard Edition
  • kbnosurvey kbarchive kbdownload kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB827103
フィードバック