MS07-030/927051 |
Visioのメモリ破損の脆弱性により、リモートで任意のコードが実行される危険性 |
(Microsoft Visio の脆弱性により、リモートでコードが実行される) |
対応の緊急性:早期適用 [攻撃コード未公開][攻撃事例なし]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法
|
脆弱性の影響
|
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
|
|
○
|
○
|
○
|
|
|
|
|
|
|
|
|
Visioにおいて、Visioファイル(.VSD/.VSS/.VST)のバージョン番号の処理やVisioファイル形式内のパッケージ化されたオブジェクトの解析処理に脆弱性が存在する。細工されたVisioファイルを開くと、任意のコードが実行される危険性がある。
攻撃は、細工されたVisioファイルをWebサイトに置くか、電子メールに添付し、それをユーザーが開くように誘導することで実行される可能性がある。Visioファイルを開くと、ユーザーの操作なしに、任意のコードが実行されてしまう。トロイの木馬のインストールなどに悪用されることが懸念される。
マイクロソフトによれば、MS07-030の脆弱性は非公開で報告されたとしており、現時点では実証コードや攻撃例は確認されていないという。ほかのOfficeアプリケーションに比べてVisioのユーザー数はそれほど多くなく、悪意を持つ攻撃者からの注目が集まりにくいことから、この脆弱性が悪用される危険性はそれほど高くないものと思われる。しかし悪用された場合、システムの制御が完全に奪われる危険性があるので、Visioをインストールしている場合は、なるべく早期に適用した方がよい。
なお、Visio 2007やVisio Viewer 2003、Visio 2007 ViewerはMS07-030の脆弱性の影響を受けない。
|
脆弱性の内容
|
MS07-030の修正プログラムは、以下の2件の脆弱性を解消する。
■バージョン番号のメモリ破損の脆弱性(深刻度:緊急 CVE:CVE-2007-0934)
Visioファイルのバージョン番号を処理する方法に脆弱性が存在する。細工されたバージョン番号を含むVisioファイルを開くと、任意のコードが実行される危険性がある。
■ドキュメント・パッケージの脆弱性(深刻度:緊急 CVE:CVE-2007-0936)
パッケージ化されたオブジェクトを解析する過程にメモリ破損の脆弱性が存在する。細工されたVisioファイルを開くと、任意のコードが実行される危険性がある。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Visio 2002 |
Visio 2002 SP-2 |
Visio 2003 |
Visio 2003 SP2 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4+Visio Professional 2002 SP-2 |
○
|
Windows 2000 Professional SP4+Visio Professional 2003 SP2 |
○
|
Windows XP Professional SP2+Visio Professional 2002 SP-2 |
○
|
Windows XP Professional SP2+Visio Professional 2003 SP2 |
○
|
○は問題なし、△は一部に問題あり、×は適用による障害あり |
■MBSA 2.0.1の結果
MS07-030の修正プログラムが正しく適用されているかどうかは、MBSA 2.0.1で確認可能である。未適用の場合は、「Officeのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。
- Visio 2002 セキュリティ更新プログラム: KB931280
- Visio 2003 セキュリティ更新プログラム: KB931281
|
適用時の注意点
|
■修正プログラムのアンインストールに必要な条件
MS07-030の修正プログラムのうち、Visio 2002向けはアンインストールできない。Visio 2003向けは以下の条件をすべて満たせばアインストール可能だ。
- OSがWindows XP SP2またはWindows Server 2003 SP1/R2/SP2
- Windows Installer 3.0以降をインストールした後で修正プログラムを適用
- VisioのインストールCDにアクセス可能
■MS07-030のVisio 2003向け修正プログラムには複数の不具合修正が含まれる
MS07-030のVisio 2003向け修正プログラムには、以下の不具合修正が含まれている。この修正プログラムを適用することで、これらの不具合が解消する可能性がある。
KB番号 |
タイトル |
909912 |
Visio 2003 post-service パック 2 ホットフィックス パッケージの説明:2006年3月24日 |
921209 |
Visio 2003 post-service パック 2 ホットフィックス パッケージの説明:2006年 August 1日 |
925904 |
Visio 2003 post-service パック 2 ホットフィックス パッケージの説明:2006年11月14日 |
928673 |
Visio 2003 post-service パック 2 ホットフィックス パッケージの説明:2007年1月8日 |
|
|
|
プラットフォーム |
ダウンロード・センター |
Office Update/MU/WSUSの表示 |
Visio 2002 SP-2 |
|
Visio 2002 セキュリティ更新プログラム: KB931280 |
Visio 2003 SP2 |
|
Visio 2003 セキュリティ更新プログラム: KB931281 |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Visio 2002 SP-2:
ファイル名 |
日付 |
バージョン |
サイズ |
Visio2002-KB931280-FullFile-JPN.EXE |
2007/03/22 |
10.2.6865.0 |
5,567,904
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Microsoft Office\Visio10\(デフォルトの設定) |
Visio.exe |
2007/03/21 |
10.0.6865.4 |
71,592
|
Microsoft Visio |
Vislib.dll |
2007/03/21 |
10.0.6865.4 |
6,379,432
|
Microsoft Visio DLL |
|
%ProgramFiles%\Microsoft Office\Visio10\DLL\(デフォルトの設定) |
DFDC.dll |
2007/03/05 |
10.0.6861.4 |
1,462,272
|
DFD modeling add-on. |
Dwgcnvt.dll |
2007/03/05 |
10.0.6861.4 |
2,600,960
|
Visio DWGCNVT DLL |
UMLC.dll |
2007/03/05 |
10.0.6861.4 |
1,441,792
|
Visio UML modeling addon. |
Umlsystem.dll |
2007/03/06 |
10.0.6861.4 |
548,864
|
UML system. |
Visiodwg.dll |
2007/03/05 |
10.0.6861.4 |
2,428,928
|
Visio VISIODWG DLL |
Visio 2003 SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
visio2003-KB931281-FullFile-JPN.exe |
2007/05/16 |
11.0.8139.0 |
5,727,648
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Microsoft Office\Visio11\(デフォルトの設定) |
VISIO.EXE |
2006/03/01 |
11.0.6301.0 |
187,072
|
Microsoft Office Visio |
VISLIB.DLL |
2007/03/22 |
11.0.7218.0 |
8,285,624
|
Microsoft Office Visio DLL |
|
%ProgramFiles%\Microsoft Office\Visio11\DLL\(デフォルトの設定)
|
AEC.DLL |
2005/10/28 |
11.0.5824.0 |
863,016
|
Aec.dll - Building Plan Solution |
DWGCNV.DLL |
2007/01/31 |
11.0.7212.0 |
154,072
|
Visio DWGCNV DLL |
DWGDP.DLL |
2007/01/31 |
11.0.7212.0 |
2,095,576
|
Visio DWG Display DLL |
MODELENG.DLL |
2006/03/01 |
11.0.6301.0 |
477,952
|
Visio modeling engine. |
ORGCHWIZ.DLL |
2006/11/28 |
11.0.7117.0 |
462,704
|
Visio Organization Chart Wizard DLL |
UML.DLL |
2007/05/08 |
11.0.7212.0 |
1,506,192
|
Visio UML modeling addon. |
UMLSYS.DLL |
2007/05/08 |
11.0.7212.0 |
553,360
|
UML system. |
|
|
|
修正プログラムが正しく適用できたかどうかは、置き換わるファイルのバージョンをプロパティで調べることで確認できる。
|
UpdateEXPERT上の表示
|
・Visio 2002 SP-2:
サポート対象外
・Visio 2003 SP2:
サポート対象外
|
|