Microsoft Word の RTF listoverridecount コントロールワードの処理に起因するメモリ領域破壊の脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.02.21(火)

Microsoft Word の RTF listoverridecount コントロールワードの処理に起因するメモリ領域破壊の脆弱性(Scan Tech Report)

脆弱性と脅威 エクスプロイト

1.概要
Microsoft Word には、RTF ファイルの取り扱いに起因してメモリ領域が破壊される脆弱性が存在します。
ユーザが悪質な RTF ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
Microsoft Word 2010 を標的とした攻撃が確認されており、攻撃を受ける可能性が高いことが考えられるため、パッチ未適用の Office ソフトウェアを利用するユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
9.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-1761&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29


3.影響を受けるソフトウェア
Microsoft Word 2003 SP3
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2
Microsoft Word 2013 NoSP/SP1
Microsoft Office for Mac 2011

※1 Microsoft Word Viewer、Microsoft Office Web Apps、Microsoft Office互換機能パックなどのソフトウェアもこの脆弱性の影響を受けることが報告されています。


4.解説
Rich Text Format (RTF)※2 では、テキストのフォント、色、行端揃えなどの情報をコントロールワードと呼ばれる制御文で定義しています。その中の 1 つである listoverridecount コントロールワードは、オーバーライドする階層の深さ (一般的には 0, 1 または 9 のいずれかの値) を定義し lfolevelコントロールワードで、オーバーライドする振る舞いを定義します。

Microsoft Word の wwlib.dll には、RTF ファイルを処理する際のlistoverridecount コントロールワードに対する境界チェックに不備があります。
このため、当該コントロールワードに 25 (listoverridecount25) などの不適切な値および大量の lfolevel コントロールワードが含まれる不正な RTFファイルを処理した場合、無効なインデックスが指定された配列オブジェクトにアクセスしてしまい、結果として、領域外の意図しないメモリ領域を参照してしまう脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、Microsoft Word を実行するユーザの権限で任意のコード実行が可能となります。

なお、Microsoft Outlook 2007/2010/2013 では、Microsoft Word がデフォルトの電子メールビューアとなっています。このため、不正な RTF 形式の電子メールを Microsoft Outlook でプレビュー表示するだけで、この脆弱性が悪用される可能性があります。

※2 http://www.microsoft.com/en-us/download/details.aspx?id=10725


5.対策
以下の Web サイトを参考に、それぞれの Microsoft Word バージョンに対応するパッチ (MS14-017) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。

MS14-017:
http://technet.microsoft.com/security/bulletin/MS14-017

あるいは、下記のいずれかの回避策を実施することで、この脆弱性による影響を回避または緩和することが可能です。

・Microsoft Fix it (Fix It 51010) を適用する ※3
・Microsoft Office Isolated Conversion Environment (MOICE) 機能を使用して、Word で RTF ファイルが開かれるのを防ぐ
・Enhanced Mitigation Experience Toolkit (EMET) を導入する ※4

※3 https://support.microsoft.com/kb/2949660/ja
※4 http://technet.microsoft.com/ja-jp/security/jj653751.aspx


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《株式会社ラック サイバー・グリッド研究所》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. IoT機器を狙う「Mirai」やその亜種の感染を目的とするアクセスが増加(警察庁)

    IoT機器を狙う「Mirai」やその亜種の感染を目的とするアクセスが増加(警察庁)

  2. Amazonやマイクロソフトを騙るフィッシングメールを確認、注意を呼びかけ(フィッシング対策協議会)

    Amazonやマイクロソフトを騙るフィッシングメールを確認、注意を呼びかけ(フィッシング対策協議会)

  3. 「Apache Struts 2」にJavaコード実行の脆弱性、すでに攻撃コード公開(JVN)

    「Apache Struts 2」にJavaコード実行の脆弱性、すでに攻撃コード公開(JVN)

  4. メモリに潜んで痕跡を消す「見えない」標的型攻撃を確認(カスペルスキー)

  5. Microsoft Windows 8.1および10に脆弱性、DoS攻撃やコード実行の可能性も(JVN)

  6. 「WordPress」にWebサイトを改ざんされる脆弱性、すでに複数の被害を確認(JPCERT/CC、IPA)

  7. 「Steam」に悪用可能なセキュリティーホールを確認(reddit)

  8. Mozilla Firefox の nsSMILTimeContainer オブジェクトにおいてメモリ処理の不備に起因する Use-After-Free の脆弱性(Scan Tech Report)

  9. 攻撃者は不正接続先マシンを攻撃インフラとして使い回す--J-CSIPレポート(IPA)

  10. セキュリティ対策は最後のピース「自動化」が主流の技術に--2017年予測(ファイア・アイ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×