MS03-035/827653 |
Wordのマクロ機能の脆弱性により、任意のマクロが実行できる可能性 |
(Microsoft Word の問題により、マクロが自動的に実行される) |
|
|
対応策 |
早期に修正プログラムの適用作業を開始してください。 |
|
概要 |
Microsoft Word(以下、Word)のマクロ機能に脆弱性があります。Office製品では、マクロが文書に存在する場合、セキュリティ警告をユーザーに表示するようになっています。しかし、Wordのマクロでは、特定の状況で警告をユーザーに表示しない欠陥があるため、マクロが暗黙のうちに実行されてしまう危険性があります。この脆弱性を悪用することにより、攻撃者はデータやファイルの追加/変更/削除、ハードディスクのフォーマットなど、システムの破壊行為を警告なしで実行可能です。これを悪用したマクロ・ウイルスが作成・流布される危険性があります。なるべく早く修正プログラムの適用作業を開始してください。
|
|
DA Lab:HotFixテスティング・チームからのコメント |
現在、修正プログラムの評価を行っております。UpdateEXPERTのデータベースには、9月5日23時ごろに登録される予定です。
Word 2000とWord 2002を対象とする修正プログラムを適用するには、事前にWindows Installer 2.0をインストールしてください(Windows
2000 SP3/SP4とWindows XPにはWindows Installer 2.0が同梱されています)。また、それぞれOffice 2000 SP3とOffice
XP SP2も、事前に適用しておく必要があります。
・マイクロソフトのサポート技術情報 292539(Windows Installer エンジンの入手方法):
http://support.microsoft.com/default.aspx?scid=kb;ja;jp292539
|
|
追加情報(2003/09/17) |
Word 97/98向けの修正プログラムの提供開始 |
マイクロソフトは、MS03-035(Wordのマクロ機能の脆弱性により、任意のマクロが実行できる可能性)の脆弱性を解消するWord 97/98向けの修正プログラムの提供を開始しました。MS03-035の脆弱性は、Word
97/98向けを除いて、9月4日に修正プログラムの提供が開始されています。9月10日にWord 97/98向けが提供されたことで、脆弱性の対象となるすべてのプロットフォーム向けに修正プログラムが提供されたことになります。
Word 97/98向け修正プログラムの入手方法は、「サポート技術情報:827647(MS03-035)」に記載されています。
・マイクロソフトのサポート技術情報 827647:
http://support.microsoft.com/default.aspx?scid=kb;ja;827647
これによると、以下の手順により入手可能です。
- jphotfix@microsoft.comあてに、入手したい修正プログラムのTechNetセキュリティ番号(MS03-035もしくはMS03-036)を件名としたメールを送信します。メールの本文は記述する必要はありません。以下のリンクをクリックすると自動的にあて先と件名が入力されてメーラーが起動します。
MS03-035:mailto:jphotfix@microsoft.com?subject=MS03-035
- 数分後、メールが自動返信されてきます。返信されたメールに書かれたFTPサイトをクリックします。
- FTPサイトに接続したら、メールに書かれたユーザー名とパスワードを入力します。
- FTPサイトから以下の修正プログラムをダウンロードします。
Q827647_JPN_i386_MID157480_zip.exe(Word 97用)
Q827647_JPN_i386_MID157716_zip.exe(Word 98用)
ダウンロードした修正プログラムを実行すると、ダイアログ・ボックスが現れます。解凍したいフォルダ名を入力し、[Unzip]ボタンをクリックします。[WinZip
Self Extractor - Password]ダイアログ・ボックスが表示されるので、ここにメールに書かれていたパスワードを入力します。これで、指定したフォルダに修正プログラムの本体とhotfix.txt(英文の注意書き)という2つのファイルが展開されるはずです。ここで展開された修正プログラムの本体を実行することで、脆弱性が解消されることになります。通常の修正プログラムの入手方法ならびに適用方法と異なりますのでご注意ください。
|
|
|
追加情報(2003/09/10) |
MS03-035はMS02-059の修正プログラムを含む? |
マイクロソフトの「セキュリティ情報:MS03-035」によれば、「MS03-035の修正プログラムは過去の修正プログラムは含まない」とされています(2003年9月9日現在)。しかし、2002年10月17日にリリースされたMS02-059の修正プログラムは、同じファイル(Winword.exe)を対象とした修正プログラムとなっています。そこでHotFixテスティング・チームでは、Office
XPについて、MS02-059とMS03-035の2つの修正プログラムの適用が必要かどうかをテストしました(Office 2000の場合、MS02-059はOffice
2000 SP3に含まれているため、Office 2000 SP3の事前適用が必要なMS03-035とは競合しません)。その結果、MS03-035を適用後にMS02-059の適用を行うと、「MS02-059は修正済み」とのメッセージが表示されることから、MS03-035の修正プログラムにはMS02-059が含まれていることが分かりました。不安が残る場合は、MS03-035の適用前に、MS02-059の修正プログラムの適用を行ってください(MS03-035の適用後にMS02-059の適用は行えません)。
|
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア |
対象プラットフォーム |
Word 97 |
Word 97 |
Word 98 |
Word 98 |
Word 2000 |
Office 2000 SP3(Word 2000) |
Word 2002 |
Office XP SP2(Word 2002) |
Works Suite 2001 |
Works Suite 2001 |
(注意)Word 97/Word 98/Works
Suite 2001は、UpdateEXPERTのサポート対象外です。 |
|
適用されるファイル情報 |
以下は、各修正プログラムに含まれるパッチです(拡張子.MSPのファイルはWindows Installer形式のパッチ)。ただし最終的には、WINWORD.EXEが更新されます。障害の発生が懸念される場合は、このファイルのバックアップを取ってください。ファイルの場所は後述の「確認方法」を参照してください。
・Office 2000 SP3(Word 2000)、Works Suites 2001:
ファイル名 |
日付 |
バージョン |
サイズ |
office2000-kb824936-client-jpn.exe |
2003/07/31 |
5.0.2919.6307 |
1,002,400
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
|
WINWORDop.msp |
2003/07/30 |
− |
1,589,904
|
Windows Installer Patch |
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
インストール・ファイル |
%ProgramFiles%Microsoft
Office\Office |
WINWORD.EXE |
2003/07/29 |
9.0.0.7924 |
8,826,932
|
Microsoft Word for Windows |
・ Office XP SP2(Word 2002):
ファイル名 |
日付 |
バージョン |
サイズ |
officexp-kb824934-client-jpn.exe |
2003/07/30 |
5.0.2919.6307 |
1,512,344
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
|
WINWORDop.msp |
2003/07/27 |
− |
2,993,728
|
Windows Installer Patch |
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
インストール・ファイル |
%ProgramFiles%Microsoft
Office\Office |
WINWORD.EXE |
2003/07/26 |
10.0.5522.0 |
10,603,064
|
Microsoft Word |
|
|
確認方法 |
各ソフトウェアでWinWord.exeのバージョン番号をご確認ください。
ソフトウェア |
バージョン番号 |
Word 2000 |
9.00.00.7924 |
Works Suites 2001 |
9.00.00.7924 |
Word 2002 |
10.0.5522.0 |
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Office 97/Word 98:
9月4日現在、マイクロソフトにおいて準備中です
・Office 2000 SP3(Word 2000)、Works Suites 2001:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4A8F6ACE-E14E-4978-A9C9-6989CD03A4A3&displaylang=ja
・ Office XP SP2(Word 2002):
http://www.microsoft.com/downloads/details.aspx?FamilyId=7D3775FC-F424-4B04-ABEB-9B4CA1EB182D&displaylang=ja
管理者用のアップデートは、以下のURLで直接ダウンロード可能です。Office XP SP1については、管理者用アップデートのみ適用可能ですので、ご注意ください。
・Office 2000 SP3(Word 2000)、Works Suites 2001:
http://download.microsoft.com/download/8/e/d/8edfd686-cea8-44de-9f30-a35c7b2983e6/office2000-kb824936-fullfile-jpn.exe
・Office XP SP1/SP2(Word 2002):
http://download.microsoft.com/download/2/a/5/2a575023-7422-46f4-bcc6-bd8f7d3df8cf/officexp-kb824934-fullfile-jpn.exe
MS03-035の修正プログラムはOffice
Updateからも適用可能です。
|
|
UpdateEXPERTによる予想適用時間 |
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
office2000-kb824936-client-jpn.exe
(Word 2000)
|
12分 |
21分 |
46分 |
1時間29分 |
officexp-kb824934-client-jpn.exe
(Word 2002)
|
13分 |
21分 |
47分 |
1時間29分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
UpdateEXPERT上の表示 |
・Office 2000 SP3(Word 2000):
[展開ビュー]−[Office]タブに「名前:office2000-kb824936-client-jpn.exe」で登録予定
・Office XP SP2(Word 2002):
[展開ビュー]−[Office]タブに「名前:officexp-kb824934-client-jpn.exe」で登録予定
|
|