FrSIRTは、PowerPointにメモリ破損の脆弱性が存在し、任意のコードが実行される危険性のあることを報告した。この脆弱性については、すでに電子メール添付型ウイルスとして攻撃が開始されている。またnaveed
afzal氏は、この脆弱性に対する実証コードを公開している。
・FrSIRT(Microsoft PowerPoint Presentation Handling Client-Side Memory Corruption
Vulnerability):
http://www.frsirt.com/english/advisories/2006/2795
・シマンテック(Trojan.PPDropper.B):
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.ppdropper.b.html
・Bugtraq(MS Power Point Multiple Vulnerabilities - (mso.dll) POC):
http://www.securityfocus.com/archive/1/440107/30/60/threaded
報告によれば、この脆弱性はmso.dllでメモリ破損が起きることに起因するという。mso.dllには、2006/07/12日付け配信のHotFix
Weeklyで報告済みの「Officeのオブジェクト・ライブラリにメモリ・アクセス・エラーの脆弱性」が未解消の状態で存在している。脆弱性の詳細が不明のため断定はできないが、この2つの脆弱性が同一である可能性もある(mso.dllに異なる脆弱性が存在している可能性も否定できない)。mso9.dll/mso.dllは、MS06-038で複数の脆弱性が解消済みであるが、依然として「Officeのオブジェクト・ライブラリにメモリ・アクセス・エラーの脆弱性」は解消されていない。
・HotFix Weekly 2006/07/12日付け(Officeのオブジェクト・ライブラリにメモリ・アクセス・エラーの脆弱性):
http://www.hotfix.jp/archives/alert/2006/news06-0712.html#02
・HotFix Alert MS06-038(Officeの文字列やプロパティの解析の脆弱性により、リモートで任意のコードが実行される危険性)
http://www.hotfix.jp/archives/alert/2006/ms06-038.html
・TechNetセキュリティ情報 MS06-038(Microsoft Office の脆弱性により、リモートでコードが実行される):
http://www.microsoft.com/japan/technet/security/bulletin/ms06-038.mspx
マイクロソフトは、この脆弱性に対するセキュリティ・アドバイザリを公開しており、遅くても2006年8月9日(水)の月例修正プログラムには修正プログラムをリリースすることを明らかにしている。それまでは、不審なOffice文書は開かないなどの運用上の注意が必要だ。
・セキュリティ・アドバイザリ 922970(Microsoft PowerPoint の脆弱性により、リモートでコードが実行される):
http://www.microsoft.com/japan/technet/security/advisory/922970.mspx
なおnaveed afzal氏は、mso.dllの脆弱性に対する実証コードと同時に、PowerPointの異なるメモリ破損の脆弱性に対する実証コードも公開している。FrSIRTによれば、この脆弱性も任意のコードが実行される危険性があるということだ。この脆弱性については、現在のところマイクロソフトからの情報はない。
・Bugtraq(MS Power Point Multiple Vulnerabilities (powerpnt.exe)- POC):
http://www.securityfocus.com/archive/1/440106/30/60/threaded
・Bugtraq(MS Power Point Multiple Vulnerabilities - (memory corruption) POC):
http://www.securityfocus.com/archive/1/440108/30/60/threaded
・FrSIRT(Microsoft PowerPoint Presentation Handling Multiple Memory Corruption
and DoS Vulnerabilities):
http://www.frsirt.com/english/advisories/2006/2815
|