2016.08.24(水)

Microsoft Word の RTF listoverridecount コントロールワードの処理に起因するメモリ領域破壊の脆弱性(Scan Tech Report)

脆弱性と脅威 エクスプロイト

1.概要
Microsoft Word には、RTF ファイルの取り扱いに起因してメモリ領域が破壊される脆弱性が存在します。
ユーザが悪質な RTF ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
Microsoft Word 2010 を標的とした攻撃が確認されており、攻撃を受ける可能性が高いことが考えられるため、パッチ未適用の Office ソフトウェアを利用するユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
9.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-1761&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29


3.影響を受けるソフトウェア
Microsoft Word 2003 SP3
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2
Microsoft Word 2013 NoSP/SP1
Microsoft Office for Mac 2011

※1 Microsoft Word Viewer、Microsoft Office Web Apps、Microsoft Office互換機能パックなどのソフトウェアもこの脆弱性の影響を受けることが報告されています。


4.解説
Rich Text Format (RTF)※2 では、テキストのフォント、色、行端揃えなどの情報をコントロールワードと呼ばれる制御文で定義しています。その中の 1 つである listoverridecount コントロールワードは、オーバーライドする階層の深さ (一般的には 0, 1 または 9 のいずれかの値) を定義し lfolevelコントロールワードで、オーバーライドする振る舞いを定義します。

Microsoft Word の wwlib.dll には、RTF ファイルを処理する際のlistoverridecount コントロールワードに対する境界チェックに不備があります。
このため、当該コントロールワードに 25 (listoverridecount25) などの不適切な値および大量の lfolevel コントロールワードが含まれる不正な RTFファイルを処理した場合、無効なインデックスが指定された配列オブジェクトにアクセスしてしまい、結果として、領域外の意図しないメモリ領域を参照してしまう脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、Microsoft Word を実行するユーザの権限で任意のコード実行が可能となります。

なお、Microsoft Outlook 2007/2010/2013 では、Microsoft Word がデフォルトの電子メールビューアとなっています。このため、不正な RTF 形式の電子メールを Microsoft Outlook でプレビュー表示するだけで、この脆弱性が悪用される可能性があります。

※2 http://www.microsoft.com/en-us/download/details.aspx?id=10725


5.対策
以下の Web サイトを参考に、それぞれの Microsoft Word バージョンに対応するパッチ (MS14-017) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。

MS14-017:
http://technet.microsoft.com/security/bulletin/MS14-017

あるいは、下記のいずれかの回避策を実施することで、この脆弱性による影響を回避または緩和することが可能です。

・Microsoft Fix it (Fix It 51010) を適用する ※3
・Microsoft Office Isolated Conversion Environment (MOICE) 機能を使用して、Word で RTF ファイルが開かれるのを防ぐ
・Enhanced Mitigation Experience Toolkit (EMET) を導入する ※4

※3 https://support.microsoft.com/kb/2949660/ja
※4 http://technet.microsoft.com/ja-jp/security/jj653751.aspx


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《株式会社ラック サイバー・グリッド研究所》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 大手企業名を騙ったヤミ金融業者サイトを初めて検知、手法模索の結果か(BBソフトサービス)

    大手企業名を騙ったヤミ金融業者サイトを初めて検知、手法模索の結果か(BBソフトサービス)

  2. Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  3. ジャパンネット銀行および福岡銀行を騙るメールに注意、本文には「貴様」(フィッシング対策協議会)

    ジャパンネット銀行および福岡銀行を騙るメールに注意、本文には「貴様」(フィッシング対策協議会)

  4. ヘルプデスク向けチケット管理アプリケーションに複数の脆弱性(JVN)

  5. 違和感のないサイバー攻撃メールにするため使われる単語(IPA)

  6. 非公式ファンメイドゲーム「Pokemon Uranium」が公開停止、再アップロード先のダウンロードリンクの安全性は保証できず

  7. マルウェアもインフラも一度きり、極めて高度な犯罪グループを発見(カスペルスキー)

  8. 「サイボウズ ガルーン」に複数の脆弱性、アップデートを呼びかけ(JVN)

  9. 複数の「D-Link」ルータ製品に重大な脆弱性、アップデートを呼びかけ(JVN)

  10. CMS「Geeklog IVYWE版」にXSSの脆弱性、パッチ適用を呼びかけ(JVN)

  11. 勝手にGoogle Playアプリを購入し、インストールするトロイの木馬を確認(Dr.WEB)

  12. 複数のWebブラウザに機微な情報が漏えいする脆弱性(JVN)

  13. Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

  14. 政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

  15. 「シンプルチャット」にXSSの脆弱性、アップデートを呼びかけ(JVN)

  16. 月例セキュリティ情報9件を公開、最大深刻度「緊急」は5件(日本マイクロソフト)

  17. Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)

  18. ボット化したIoT機器が感染拡大を目的にTelnet探索を行っている可能性(警察庁)

  19. 「UltraVNC repeater」に、任意のホストのポートに接続させられる脆弱性(JVN)

  20. Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×