このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2003/09/05日版

   
【登録日】2003/09/05
【更新日】2003/09/17
深刻度
1(緊急)
2(重要)
  3(警告)
  4(注意)
対策
早期適用
再起動の必要性
なし
アンインストール
不可
対象環境
サーバ
クライアント
セキュリティ情報
MS03-035(日本)
MS03-035(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq03-035
含まれる過去の修正
なし
脆弱性識別番号
更新履歴
2003/09/04 セキュリティ情報ページを公開
MS03-035/827653
Wordのマクロ機能の脆弱性により、任意のマクロが実行できる可能性
(Microsoft Word の問題により、マクロが自動的に実行される)
 

対応策
 早期に修正プログラムの適用作業を開始してください。
 
概要

 Microsoft Word(以下、Word)のマクロ機能に脆弱性があります。Office製品では、マクロが文書に存在する場合、セキュリティ警告をユーザーに表示するようになっています。しかし、Wordのマクロでは、特定の状況で警告をユーザーに表示しない欠陥があるため、マクロが暗黙のうちに実行されてしまう危険性があります。この脆弱性を悪用することにより、攻撃者はデータやファイルの追加/変更/削除、ハードディスクのフォーマットなど、システムの破壊行為を警告なしで実行可能です。これを悪用したマクロ・ウイルスが作成・流布される危険性があります。なるべく早く修正プログラムの適用作業を開始してください。

 
DA Lab:HotFixテスティング・チームからのコメント

 現在、修正プログラムの評価を行っております。UpdateEXPERTのデータベースには、9月5日23時ごろに登録される予定です。

 Word 2000とWord 2002を対象とする修正プログラムを適用するには、事前にWindows Installer 2.0をインストールしてください(Windows 2000 SP3/SP4とWindows XPにはWindows Installer 2.0が同梱されています)。また、それぞれOffice 2000 SP3とOffice XP SP2も、事前に適用しておく必要があります。

・マイクロソフトのサポート技術情報 292539(Windows Installer エンジンの入手方法):
http://support.microsoft.com/default.aspx?scid=kb;ja;jp292539

 
追加情報(2003/09/17)
Word 97/98向けの修正プログラムの提供開始

 マイクロソフトは、MS03-035(Wordのマクロ機能の脆弱性により、任意のマクロが実行できる可能性)の脆弱性を解消するWord 97/98向けの修正プログラムの提供を開始しました。MS03-035の脆弱性は、Word 97/98向けを除いて、9月4日に修正プログラムの提供が開始されています。9月10日にWord 97/98向けが提供されたことで、脆弱性の対象となるすべてのプロットフォーム向けに修正プログラムが提供されたことになります。

 Word 97/98向け修正プログラムの入手方法は、「サポート技術情報:827647(MS03-035)」に記載されています。

・マイクロソフトのサポート技術情報 827647:
http://support.microsoft.com/default.aspx?scid=kb;ja;827647

 これによると、以下の手順により入手可能です。

  1. jphotfix@microsoft.comあてに、入手したい修正プログラムのTechNetセキュリティ番号(MS03-035もしくはMS03-036)を件名としたメールを送信します。メールの本文は記述する必要はありません。以下のリンクをクリックすると自動的にあて先と件名が入力されてメーラーが起動します。
    MS03-035:mailto:jphotfix@microsoft.com?subject=MS03-035
  2. 数分後、メールが自動返信されてきます。返信されたメールに書かれたFTPサイトをクリックします。
  3. FTPサイトに接続したら、メールに書かれたユーザー名とパスワードを入力します。
  4. FTPサイトから以下の修正プログラムをダウンロードします。
    Q827647_JPN_i386_MID157480_zip.exe(Word 97用)
    Q827647_JPN_i386_MID157716_zip.exe(Word 98用)

 ダウンロードした修正プログラムを実行すると、ダイアログ・ボックスが現れます。解凍したいフォルダ名を入力し、[Unzip]ボタンをクリックします。[WinZip Self Extractor - Password]ダイアログ・ボックスが表示されるので、ここにメールに書かれていたパスワードを入力します。これで、指定したフォルダに修正プログラムの本体とhotfix.txt(英文の注意書き)という2つのファイルが展開されるはずです。ここで展開された修正プログラムの本体を実行することで、脆弱性が解消されることになります。通常の修正プログラムの入手方法ならびに適用方法と異なりますのでご注意ください。

 
追加情報(2003/09/10)
MS03-035はMS02-059の修正プログラムを含む?

 マイクロソフトの「セキュリティ情報:MS03-035」によれば、「MS03-035の修正プログラムは過去の修正プログラムは含まない」とされています(2003年9月9日現在)。しかし、2002年10月17日にリリースされたMS02-059の修正プログラムは、同じファイル(Winword.exe)を対象とした修正プログラムとなっています。そこでHotFixテスティング・チームでは、Office XPについて、MS02-059とMS03-035の2つの修正プログラムの適用が必要かどうかをテストしました(Office 2000の場合、MS02-059はOffice 2000 SP3に含まれているため、Office 2000 SP3の事前適用が必要なMS03-035とは競合しません)。その結果、MS03-035を適用後にMS02-059の適用を行うと、「MS02-059は修正済み」とのメッセージが表示されることから、MS03-035の修正プログラムにはMS02-059が含まれていることが分かりました。不安が残る場合は、MS03-035の適用前に、MS02-059の修正プログラムの適用を行ってください(MS03-035の適用後にMS02-059の適用は行えません)。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア 対象プラットフォーム
Word 97 Word 97
Word 98 Word 98
Word 2000 Office 2000 SP3(Word 2000)
Word 2002 Office XP SP2(Word 2002)
Works Suite 2001 Works Suite 2001
(注意)Word 97/Word 98/Works Suite 2001は、UpdateEXPERTのサポート対象外です。
 
適用されるファイル情報
 以下は、各修正プログラムに含まれるパッチです(拡張子.MSPのファイルはWindows Installer形式のパッチ)。ただし最終的には、WINWORD.EXEが更新されます。障害の発生が懸念される場合は、このファイルのバックアップを取ってください。ファイルの場所は後述の「確認方法」を参照してください。
 
・Office 2000 SP3(Word 2000)、Works Suites 2001:
ファイル名 日付 バージョン サイズ
office2000-kb824936-client-jpn.exe 2003/07/31 5.0.2919.6307
1,002,400
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル  
WINWORDop.msp 2003/07/30
1,589,904
Windows Installer Patch
 
ファイル名 日付 バージョン サイズ 機能
インストール・ファイル %ProgramFiles%Microsoft Office\Office
WINWORD.EXE 2003/07/29 9.0.0.7924
8,826,932
Microsoft Word for Windows
 
・ Office XP SP2(Word 2002):
ファイル名 日付 バージョン サイズ
officexp-kb824934-client-jpn.exe 2003/07/30 5.0.2919.6307
1,512,344
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル  
WINWORDop.msp 2003/07/27
2,993,728
Windows Installer Patch
 
ファイル名 日付 バージョン サイズ 機能
インストール・ファイル %ProgramFiles%Microsoft Office\Office
WINWORD.EXE 2003/07/26 10.0.5522.0
10,603,064
Microsoft Word
 
確認方法

 各ソフトウェアでWinWord.exeのバージョン番号をご確認ください。

ソフトウェア バージョン番号
Word 2000 9.00.00.7924
Works Suites 2001 9.00.00.7924
Word 2002 10.0.5522.0
 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。

・Office 97/Word 98:
9月4日現在、マイクロソフトにおいて準備中です

・Office 2000 SP3(Word 2000)、Works Suites 2001:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4A8F6ACE-E14E-4978-A9C9-6989CD03A4A3&displaylang=ja

・ Office XP SP2(Word 2002):
http://www.microsoft.com/downloads/details.aspx?FamilyId=7D3775FC-F424-4B04-ABEB-9B4CA1EB182D&displaylang=ja

 管理者用のアップデートは、以下のURLで直接ダウンロード可能です。Office XP SP1については、管理者用アップデートのみ適用可能ですので、ご注意ください。

・Office 2000 SP3(Word 2000)、Works Suites 2001:
http://download.microsoft.com/download/8/e/d/8edfd686-cea8-44de-9f30-a35c7b2983e6/office2000-kb824936-fullfile-jpn.exe

・Office XP SP1/SP2(Word 2002):
http://download.microsoft.com/download/2/a/5/2a575023-7422-46f4-bcc6-bd8f7d3df8cf/officexp-kb824934-fullfile-jpn.exe

 MS03-035の修正プログラムはOffice Updateからも適用可能です。

 
UpdateEXPERTによる予想適用時間
修正プログラム名 50台 100台 250台 500台
office2000-kb824936-client-jpn.exe
(Word 2000)
12分 21分 46分 1時間29分
officexp-kb824934-client-jpn.exe
(Word 2002)
13分 21分 47分 1時間29分
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
 
UpdateEXPERT上の表示

・Office 2000 SP3(Word 2000):
 [展開ビュー]−[Office]タブに「名前:office2000-kb824936-client-jpn.exe」で登録予定

・Office XP SP2(Word 2002):
 [展開ビュー]−[Office]タブに「名前:officexp-kb824934-client-jpn.exe」で登録予定

 
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。