Microsoft Windows の OLE オブジェクト処理に起因する任意コード実行の脆弱性(Scan Tech Report)
Microsoft Windows の OLE パッケージャに任意のコードが実行可能な脆弱性が報告されています。
脆弱性と脅威
44views
1.概要 Microsoft Windows の OLE パッケージャに任意のコードが実行可能な脆弱性が報告されています。 ユーザが OLE オブジェクトが埋め込まれた悪質な Office ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。 PowerPoint ファイルを利用した標的型攻撃も確認されており、脆弱性を悪用された場合の影響度が高いため、パッチ未適用の Windwos OS を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。
3.影響を受けるソフトウェア Microsoft Windows Vista Microsoft Windows Server 2008/2008 R2※1 Microsoft Windows 7 Microsoft Windows 8/8.1 Microsoft Windows Server 2012/2012 R2※1 Microsoft Windows RT/RT 8.1
※1 Server Core インストールを実施した Windows Server 2008/2008 R2, Windows Server 2012/2012 R2 は、この脆弱性の影響を受けません。
4.解説 Object Linking and Embedding (OLE) は、複数のアプリケーションソフト間でデータやオブジェクトを共有するための技術であり、例えば、PowerPoint ファイルに Excel データを挿入し利用することが可能です。
Microsoft Windows の OLE パッケージャ (packager.dll) には、Office ファイルに含まれる OLE オブジェクトを適切に処理しないため、任意のコード実行が可能な脆弱性が存在します。
5.対策 以下の Web サイトを参考に、それぞれの Windows OS バージョンに対応するパッチ (MS14-064) を入手し適用することで、この脆弱性を解消することが可能です。 ※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。
