MS08-014の修正プログラムは、以下の7件の脆弱性を解消する。
■マクロ検証の脆弱性(深刻度:緊急 CVE:CVE-2008-0081)
2008/01/23日付けHotFix Weeklyで報告済みの「Excelに任意のコードが実行可能な脆弱性」を解消する。
・HotFix Weekly 2008/01/23日付け(Excelに任意のコードが実行可能な脆弱性):
http://www.hotfix.jp/archives/alert/2008/news08-0123.html#01
Excelのマクロに関するヘッダ情報を処理する過程にメモリ破損の脆弱性が存在し、細工されたExcelファイルを開くと、ユーザーの操作なしに任意のコードが実行される危険性がある。
この脆弱性は実証コードが公開されており、すでに攻撃に悪用された事例が報告されている。なおExcel 2007とOffice互換機能パックは、この脆弱性の影響を受けない。
■式解析の脆弱性(深刻度:緊急 CVE:CVE-2008-0115)
Excelが式の情報を検証する際のメモリ計算エラーに起因するメモリ破損の脆弱性が存在する。細工されたExcelファイルを開くと、ユーザーの操作なしに任意のコードが実行される危険性がある。
■データ検証レコードの脆弱性(深刻度:緊急 CVE:CVE-2008-0111)
ExcelがExcelファイルをメモリに読み込む際にデータ検証レコードを十分に検証しないことに起因する脆弱性が存在する。細工されたExcelファイルを開くと、ユーザーの操作なしに任意のコードが実行される危険性がある。
■リッチテキストの検証の脆弱性(深刻度:緊急 CVE:CVE-2008-0116)
Excelがアプリケーションのデータをメモリに読み込む際にリッチテキストの値を十分に検証しないことに起因する脆弱性が存在する。細工されたExcelファイルを開くと、ユーザーの操作なしに任意のコードが実行される危険性がある。
なおExcel 2007は、この脆弱性の影響を受けない。
■条件付きフォーマットの脆弱性(深刻度:緊急 CVE:CVE-2008-0117)
Excelが条件付きフォーマットの値を十分に検証しないことに起因する脆弱性が存在する。細工されたExcelファイルを開くと、ユーザーの操作なしに任意のコードが実行される危険性がある。
なおこの脆弱性は、Excel 2000/2002のみ影響を受ける。
■STYLEレコードの脆弱性(深刻度:緊急 CVE:CVE-2008-0114)
ExcelがSTYLEレコードを検証する際のメモリ処理エラーに起因するメモリ破損の脆弱性が存在する。細工されたExcelファイルを開くと、ユーザーの操作なしに任意のコードが実行される危険性がある。
なおExcel 2007とOffice互換機能パックは、この脆弱性の影響を受けない。
■ファイル・インポートの脆弱性(深刻度:緊急 CVE:CVE-2008-0112)
Excelが、ファイルをインポートする際にデータを十分に検証しないことに起因する脆弱性が存在する。細工されたExcelファイルを開くと、ユーザーの操作なしに任意のコードが実行される危険性がある。
なおこの脆弱性は、Excel 2000のみ影響を受ける。 |