深刻度
|
|
1(緊急) |
→ |
2(重要) |
|
3(警告) |
|
4(注意) |
|
攻撃コードの有無
|
あり
|
対策
|
早期適用
|
再起動の必要性
|
不要(必要な場合あり)
|
アンインストール
|
可能
|
対象環境
|
|
セキュリティ情報
|
|
サポート技術情報
|
|
含まれる過去の修正
|
なし
|
脆弱性識別番号
|
|
|
MS07-001/921585 |
Office 2003 ポルトガル語(ブラジル)版における文章校正プログラムのメモリ破損の脆弱性により、リモートで任意のコードが実行される危険性 |
(Microsoft Office 2003 のポルトガル語 (ブラジル) の文章校正プログラムの脆弱性により、リモートでコードが実行される) |
対応の緊急性:早期適用 [攻撃コード未公開][攻撃事例なし]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法
|
脆弱性の影響
|
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
|
|
○
|
○
|
○
|
|
|
|
|
|
|
|
|
Office 2003 ポルトガル語(ブラジル)版の文章校正プログラムに未チェック・バッファの脆弱性が存在し、任意のコードが実行される危険性がある。ポルトガル語(ブラジル)版の文章校正プログラムがインストールされている場合、細工されたOffice文書を開くだけで攻撃が実行されてしまう。ただし影響を受けるのは、ポルトガル語(ブラジル)版の文書校正プログラムを明示的に有効化している場合だけで、デフォルト状態のOffice
2003 日本語版は影響を受けない。
この脆弱性は電子メール添付型のウイルスなどに悪用される危険性がある。また細工したOffice文書をWebページにリンクすることで、攻撃が実行されることが懸念される。ただしこの場合、Office
2003ではファイルを開く旨の警告ダイアログが表示されるので、リンクをクリックしただけで自動的に攻撃を受けることはない。
マイクロソフトによれば、MS07-001の脆弱性は、すでに情報が公開されており、実証コードが公開されていたということだ。ただし現時点では攻撃例は確認されていないということだが、ポルトガル語(ブラジル)対応の文章校正プログラムをインストールしている環境の場合、早急に修正プログラムを適用した方がよい。
|
脆弱性の内容
|
Office 2003 ポルトガル語(ブラジル)版の文書校正プログラムが有効な環境において、細工されたOffice文書を開くと、未チェック・バッファの脆弱性により、任意のコードが実行される危険性がある。
脆弱性の影響を受けるのは、Office 2003 ポルトガル語(ブラジル)版、Office 2003/Project 2003/Visio 2003の各Multilingual
User Interface(MUI)版とOffice Proofing Tools 2003でポルトガル語(ブラジル)の文章校正プログラムを有効にしている環境である。Office
Proofing Tools 2003はOffice 2003日本語版にインストールすることも可能だ。そのため、例えばブラジルとの取引がある企業などで、ポルトガル語(ブラジル)対応の文章校正プログラムをインストールしているような場合は、修正プログラムの適用が必要になる。MUI版やOffice
Proofing Tools 2003を利用している環境でも、ポルトガル語(ブラジル)対応の文章校正プログラムを有効にしていなければ、MS07-001の脆弱性の影響は受けない。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Office 2003 |
Office 2003 SP2 ポルトガル語(ブラジル) 版、Office 2003 Multilingual User Interface SP2 |
Office Proofing Tools 2003 |
Office Proofing Tools 2003 SP2 |
Project 2003 |
Project 2003 Multilingual User Interface SP2 |
Visio 2003 |
Visio 2003 Multilingual User Interface SP2 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows XP Professional SP2+Office Professional 2003 SP2+Office
2003 Proofing Tools SP2 |
○
|
Windows XP Professional SP2+Office Professional 2003
MUI SP2 |
○
|
○は問題なし、△は一部に問題あり、×は適用による障害あり |
■MBSA 2.01の結果
MS07-001の修正プログラムが正しく適用されているかどうかは、MBSA 2.01で確認可能だ。未適用の場合は、「Officeのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。
- Office 2003 セキュリティ更新プログラム: KB921585
- Office 2003 Proofing Tools セキュリティ更新: KB921585
- Office 2003 Multilingual User Interface セキュリティ更新プログラム: KB921585
- Project 2003 Multilingual User Interface セキュリティ更新プログラム: KB921585
- Visio 2003 Multilingual User Interface セキュリティ更新プログラム: KB921585
|
適用時の注意点
|
■スペイン語版も脆弱性の影響を受ける?
TechNetセキュリティ情報の「このセキュリティ更新プログラムに関するよく寄せられる質問」によれば、MS07-001の脆弱性は、ポルトガル語(ブラジル)版だけでなく、スペイン語版についても修正プログラムを適用することを推奨している。スペイン語版の文章校正プログラムをインストールしている場合についても、MS07-001の修正プログラムを適用しておいた方がよいだろう。
■Office 2003 Proofing Tools向け修正プログラムの適用には事前にOffice 2003 SP2 for Proofing
Toolsの適用が必要
MS07-001のOffice 2003 Proofing Tools向け修正プログラムを適用するには、「Office 2003 Service Pack
2 (SP2) for Proofing Tools」を事前にインストールしておく必要がある。Office 2003 SP2 for Proofing Toolsが未インストールの場合、適用する環境が見つからない旨のエラーが表示され、適用が終了してしまう。Office
2003 Proofing Tools SP2は、ダウンロード・センターから入手可能である。
・ダウンロード・センター(Office 2003 Service Pack 2 (SP2) for Proofing Tools):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=63336ef2-7d76-4a8d-921f-c6f6e7152b97&DisplayLang=en
■修正プログラムのアンインストールに必要な条件
MS07-001の修正プログラムは、以下の条件を満たせばアンインストール可能である。
- OSがWindows XP SP2またはWindows Server 2003 SP1
- Windows Installer 3.0以降をインストールした後で修正プログラムを適用
- OfficeのインストールCDにアクセス可能
|
|
|
プラットフォーム |
ダウンロード・センター |
Office Update/MU/WSUSの表示 |
Office 2003 SP2 ポルトガル語(ブラジル) 版 |
|
Office 2003 セキュリティ更新プログラム: KB921585 |
Office Proofing Tools 2003 SP2 |
|
Office 2003 Proofing Tools セキュリティ更新: KB921585 |
Office 2003 SP2 MUI版 |
|
Office 2003 Multilingual User Interface セキュリティ更新プログラム: KB921585 |
Project 2003 SP2 MUI版
|
|
Project 2003 Multilingual User Interface セキュリティ更新プログラム:
KB921585 |
Visio 2003 SP2 MUI版 |
|
Visio 2003 Multilingual User Interface セキュリティ更新プログラム: KB92158
|
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Office 2003 SP2 ポルトガル語(ブラジル) 版:
ファイル名 |
日付 |
バージョン |
サイズ |
office2003-KB921585-FullFile-PTB.exe |
2006/12/09 |
11.0.8116.0 |
1,248,592
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\ |
MSGR2PB.LEX |
2006/8/17 |
− |
1,863,468
|
辞書ファイル |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\1046\ |
MSGR2PB.DLL |
2006/10/6 |
12.0.0.16 |
1,292,408
|
Itautec Revisor Gramatical Portugues-Brasil |
Office Proofing Tools 2003 SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
office2003ptk-KB921585-FullFile-ENU.exe |
2006/12/12 |
11.0.8115.0 |
7,969,624
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\System32\ |
IMEKR70.IME |
2005/11/10 |
7.0.8002.0 |
103,624
|
Microsoft IME 2003 |
|
%ProgramFiles%\Microsoft Office\OFFICE11\1043\(デフォルトの設定) |
MSO.ACL |
2005/10/17 |
− |
9,624
|
オートコレクト リスト |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\ |
JURIDSCH.DIC |
2005/09/30 |
− |
93,727
|
− |
MAATSCH.DIC |
2005/09/30 |
− |
162,288
|
− |
MEDISCH.DIC |
2005/09/30 |
− |
238,139
|
− |
MSGR2PB.LEX |
2006/08/17 |
− |
1,863,468
|
辞書ファイル |
MSGR_NL.LEX |
2005/09/26 |
− |
4,890,875
|
辞書ファイル |
MSSP3GE.DLL |
2006/07/20 |
2.54.0.0 |
353,816
|
Lingsoft CSAPI |
MSSP3GEA.LEX |
2006/07/20 |
− |
2,528,721
|
辞書ファイル |
MSSP3GEP.LEX |
2006/07/20 |
− |
2,614,059
|
辞書ファイル |
MSSP3NL.DLL |
2006/03/08 |
3.0.7.9 |
194,112
|
Dutch speller .dll |
MSSP3NL.LEX |
2006/03/08 |
− |
925,482
|
辞書ファイル |
MSTH3NL.LEX |
2005/09/14 |
− |
753,046
|
辞書ファイル |
TECHWET.DIC |
2005/09/30 |
− |
168,270
|
− |
ZAKELIJK.DIC |
2005/09/30 |
− |
259,080
|
− |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\1031\ |
MSGR3GE.DLL |
2006/07/27 |
3.1.0.9126 |
1,407,800
|
Microsoft German Grammar Checker |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\1043\ |
MSGRNL32.DLL |
2006/08/21 |
7.0.1.3 |
529,984
|
Dutch Grammar .dll |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\1046\ |
MSGR2PB.DLL |
2006/10/06 |
12.0.0.16 |
1,292,408
|
Itautec Revisor Gramatical Portugues-Brasil |
Office 2003 SP2 MUI版:
ファイル名 |
日付 |
バージョン |
サイズ |
Office2003mui-KB921585-FullFile-PTB.exe |
2006/12/12 |
11.0.8116.0 |
4,156,248
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Microsoft Office\OFFICE11\1046\(デフォルトの設定) |
XLINTL32.DLL |
2005/10/04 |
11.0.6802.0 |
814,312
|
Microsoft Office 2003 component |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\ |
MSGR2PB.LEX |
2006/08/17 |
− |
1,863,468
|
辞書ファイル |
MSSP3PB.DLL |
2005/08/10 |
7.0.12.13 |
434,176
|
Microsoft Speller |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\1046\ |
MSGR2PB.DLL |
2006/10/6 |
12.0.0.16 |
1,292,408
|
Itautec Revisor Gramatical Portugues-Brasil |
|
%ProgramFiles%\Common Files\System\MSMAPI\1046\ |
CONTAB32.DLL |
2006/01/09 |
11.0.8008.0 |
116,424
|
Outlook Address Book Service |
DUMPSTER.DLL |
2006/07/14 |
11.0.8036.0 |
32,016
|
Outlook Deleted Item Recovery Client Extension |
ENABLT32.DLL |
2006/04/03 |
11.0.8020.0 |
106,696
|
Outlook LDAP Address Book Provider |
EMSABP32.DLL |
2006/09/22 |
11.0.8109.0 |
264,976
|
Outlook Address Book Provider |
EMSUI32.DLL |
2006/06/21 |
11.0.8032.0 |
132,368
|
Microsoft Exchange Configurarion Library |
MSMAPI32.DLL |
2006/11/02 |
11.0.8115.0 |
1,414,928
|
Extended MAPI 1.0 for Windows NT |
MSPST32.DLL |
2006/04/20 |
11.0.8023.0 |
725,776
|
Microsoft Personal Folder/Address Book Service Provider |
OUTEX.DLL |
2006/10/18 |
11.0.8113.0 |
654,608
|
Outlook Exchange User Interface |
PSTPRX32.DLL |
2005/10/22 |
11.0.8000.0 |
280,264
|
Proxy Store Provider |
SCANPST.EXE |
2005/10/04 |
11.0.6802.0 |
60,136
|
Microsoft Personal Folders Scan/Repair Utility |
Project 2003 SP2 MUI版:
ファイル名 |
日付 |
バージョン |
サイズ |
project2003mui-KB921585-FullFile-PTB.exe |
2006/12/12 |
11.0.8115.0 |
1,231,712
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\ |
MSGR2PB.LEX |
2006/8/17 |
− |
1,863,468
|
辞書ファイル |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\1046\ |
MSGR2PB.DLL |
2006/10/6 |
12.0.0.16 |
1,292,408
|
Itautec Revisor Gramatical Portugues-Brasil |
Visio 2003 SP2 MUI版:
ファイル名 |
日付 |
バージョン |
サイズ |
visio2003mui-KB921585-FullFile-PTB.exe |
2006/12/12 |
11.0.8115.0 |
1,232,216
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\ |
MSGR2PB.LEX |
2006/8/17 |
− |
1,863,468
|
辞書ファイル |
|
%ProgramFiles%\Common Files\Microsoft Shared\PROOF\1046\ |
MSGR2PB.DLL |
2006/10/6 |
12.0.0.16 |
1,292,408
|
Itautec Revisor Gramatical Portugues-Brasil |
|
|
|
修正プログラムが正しく適用できたかどうかは、置き換わるファイルのバージョンをプロパティで調べることで確認できる。
|
UpdateEXPERT上の表示
|
・Office 2003 SP2 ポルトガル語(ブラジル) 版:
UpdateEXPERTのサポート対象外
・Office Proofing Tools 2003 SP2:
UpdateEXPERTのサポート対象外
・Office 2003 SP2 MUI版:
UpdateEXPERTのサポート対象外
・Project 2003 SP2 MUI版:
UpdateEXPERTのサポート対象外
・Visio 2003 SP2 MUI版:
UpdateEXPERTのサポート対象外
|
|
|