3.影響を受けるソフトウェア Microsoft Windows XP SP3 Microsoft Windows XP Professional x64 Edition SP2 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2003 with SP2 for Itanium-based Systems
4.解説 Object Linking and Embedding (OLE) は、組み込みまたはリンク機能を利用することによって、複数のアプリケーション間でデータやオブジェクトの連携を可能にする技術です。
Microsoft Windows の ole32.dll には、CPropertyStorage::ReadMultiple() 関数において、Office ドキュメントなどに含まれた OLE オブジェクトのプロパティを変換する際に String 型のプロパティを Variant 型のプロパティとして処理してしまう不備があります。 このため、Office アプリケーションを介して、プロパティに不正なデータが指定された OLE オブジェクトを含む Office ドキュメントを処理した場合に、当該プロパティの先頭の 4 バイトを vtable ポインタとして扱ってしまうため、意図しないメモリ領域を参照してしまう脆弱性が存在します。
5.対策 以下の Web サイトを参考に、それぞれの Microsoft Windows OS に対応する適切なパッチ (MS11-093) を入手し適用することで、この脆弱性を解消することが可能です。 また、信頼されないソースおよび場所の Office ドキュメントを開かないことが Microsoft より推奨されています。
