Microsoft Word の RTF listoverridecount コントロールワードの処理に起因するメモリ領域破壊の脆弱性(Scan Tech Report) | ScanNetSecurity
2024.04.27(土)

Microsoft Word の RTF listoverridecount コントロールワードの処理に起因するメモリ領域破壊の脆弱性(Scan Tech Report)

Microsoft Word には、RTF ファイルの取り扱いに起因してメモリ領域が破壊される脆弱性が存在します。

脆弱性と脅威 エクスプロイト
facebookLINE
1.概要
Microsoft Word には、RTF ファイルの取り扱いに起因してメモリ領域が破壊される脆弱性が存在します。
ユーザが悪質な RTF ファイルを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
Microsoft Word 2010 を標的とした攻撃が確認されており、攻撃を受ける可能性が高いことが考えられるため、パッチ未適用の Office ソフトウェアを利用するユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
9.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-1761&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29


3.影響を受けるソフトウェア
Microsoft Word 2003 SP3
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2
Microsoft Word 2013 NoSP/SP1
Microsoft Office for Mac 2011

※1 Microsoft Word Viewer、Microsoft Office Web Apps、Microsoft Office互換機能パックなどのソフトウェアもこの脆弱性の影響を受けることが報告されています。


4.解説
Rich Text Format (RTF)※2 では、テキストのフォント、色、行端揃えなどの情報をコントロールワードと呼ばれる制御文で定義しています。その中の 1 つである listoverridecount コントロールワードは、オーバーライドする階層の深さ (一般的には 0, 1 または 9 のいずれかの値) を定義し lfolevelコントロールワードで、オーバーライドする振る舞いを定義します。

Microsoft Word の wwlib.dll には、RTF ファイルを処理する際のlistoverridecount コントロールワードに対する境界チェックに不備があります。
このため、当該コントロールワードに 25 (listoverridecount25) などの不適切な値および大量の lfolevel コントロールワードが含まれる不正な RTFファイルを処理した場合、無効なインデックスが指定された配列オブジェクトにアクセスしてしまい、結果として、領域外の意図しないメモリ領域を参照してしまう脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、Microsoft Word を実行するユーザの権限で任意のコード実行が可能となります。

なお、Microsoft Outlook 2007/2010/2013 では、Microsoft Word がデフォルトの電子メールビューアとなっています。このため、不正な RTF 形式の電子メールを Microsoft Outlook でプレビュー表示するだけで、この脆弱性が悪用される可能性があります。

※2 http://www.microsoft.com/en-us/download/details.aspx?id=10725


5.対策
以下の Web サイトを参考に、それぞれの Microsoft Word バージョンに対応するパッチ (MS14-017) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。

MS14-017:
http://technet.microsoft.com/security/bulletin/MS14-017

あるいは、下記のいずれかの回避策を実施することで、この脆弱性による影響を回避または緩和することが可能です。

・Microsoft Fix it (Fix It 51010) を適用する ※3
・Microsoft Office Isolated Conversion Environment (MOICE) 機能を使用して、Word で RTF ファイルが開かれるのを防ぐ
・Enhanced Mitigation Experience Toolkit (EMET) を導入する ※4

※3 https://support.microsoft.com/kb/2949660/ja
※4 http://technet.microsoft.com/ja-jp/security/jj653751.aspx


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《株式会社ラック デジタルペンテスト部》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  3. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  4. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  7. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  8. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  9. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  10. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

ランキングをもっと見る
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP