Microsoft Word の RTF listoverridecount コントロールワードの処理に起因するメモリ領域破壊の脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.01.22(日)

Microsoft Word の RTF listoverridecount コントロールワードの処理に起因するメモリ領域破壊の脆弱性(Scan Tech Report)

脆弱性と脅威 エクスプロイト

1.概要
Microsoft Word には、RTF ファイルの取り扱いに起因してメモリ領域が破壊される脆弱性が存在します。
ユーザが悪質な RTF ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
Microsoft Word 2010 を標的とした攻撃が確認されており、攻撃を受ける可能性が高いことが考えられるため、パッチ未適用の Office ソフトウェアを利用するユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
9.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-1761&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29


3.影響を受けるソフトウェア
Microsoft Word 2003 SP3
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2
Microsoft Word 2013 NoSP/SP1
Microsoft Office for Mac 2011

※1 Microsoft Word Viewer、Microsoft Office Web Apps、Microsoft Office互換機能パックなどのソフトウェアもこの脆弱性の影響を受けることが報告されています。


4.解説
Rich Text Format (RTF)※2 では、テキストのフォント、色、行端揃えなどの情報をコントロールワードと呼ばれる制御文で定義しています。その中の 1 つである listoverridecount コントロールワードは、オーバーライドする階層の深さ (一般的には 0, 1 または 9 のいずれかの値) を定義し lfolevelコントロールワードで、オーバーライドする振る舞いを定義します。

Microsoft Word の wwlib.dll には、RTF ファイルを処理する際のlistoverridecount コントロールワードに対する境界チェックに不備があります。
このため、当該コントロールワードに 25 (listoverridecount25) などの不適切な値および大量の lfolevel コントロールワードが含まれる不正な RTFファイルを処理した場合、無効なインデックスが指定された配列オブジェクトにアクセスしてしまい、結果として、領域外の意図しないメモリ領域を参照してしまう脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、Microsoft Word を実行するユーザの権限で任意のコード実行が可能となります。

なお、Microsoft Outlook 2007/2010/2013 では、Microsoft Word がデフォルトの電子メールビューアとなっています。このため、不正な RTF 形式の電子メールを Microsoft Outlook でプレビュー表示するだけで、この脆弱性が悪用される可能性があります。

※2 http://www.microsoft.com/en-us/download/details.aspx?id=10725


5.対策
以下の Web サイトを参考に、それぞれの Microsoft Word バージョンに対応するパッチ (MS14-017) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。

MS14-017:
http://technet.microsoft.com/security/bulletin/MS14-017

あるいは、下記のいずれかの回避策を実施することで、この脆弱性による影響を回避または緩和することが可能です。

・Microsoft Fix it (Fix It 51010) を適用する ※3
・Microsoft Office Isolated Conversion Environment (MOICE) 機能を使用して、Word で RTF ファイルが開かれるのを防ぐ
・Enhanced Mitigation Experience Toolkit (EMET) を導入する ※4

※3 https://support.microsoft.com/kb/2949660/ja
※4 http://technet.microsoft.com/ja-jp/security/jj653751.aspx


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《株式会社ラック サイバー・グリッド研究所》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  2. 「Apache HTTP Web Server」に情報漏えいやDoS攻撃の脆弱性(JVN)

    「Apache HTTP Web Server」に情報漏えいやDoS攻撃の脆弱性(JVN)

  3. Windows版「Wireshark」に任意のファイルが削除される脆弱性(JVN)

    Windows版「Wireshark」に任意のファイルが削除される脆弱性(JVN)

  4. 「魚拓」サイトに詐欺サイトを記録保管するケースを検知(BBソフトサービス)

  5. 支払いと拡散を選ばせるランサム、ドキシング、機械学習の犯罪利用など予測(Avast Software)

  6. 2016年十大ニュース、1位はIoTセキュリティ、番外編に「シン・ゴジラ」(JNSA)

  7. 「Officeのプロダクトキーが不正コピーされた」とするフィッシングを確認(フィッシング対策協議会)

  8. BIND 9.xにDNSサービスが停止する複数の脆弱性、緊急情報を公開(JPRS)

  9. 「PHPMailer」に任意のOSコマンドを実行される脆弱性、攻撃コード公開(JVN)

  10. 「SKYSEA Client View」に任意のコードが実行可能な脆弱性(JVN)

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×