このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2008/02/14版
 
【登録日】2008/02/14
【更新日】2008/02/14
HFR BBS会議室
 
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
至急適用
再起動の必要性
不要
アンインストール
不可
対象環境
サーバ
クライアント
セキュリティ情報
MS08-012(日本)
MS08-012(US)
サポート技術情報
含まれる過去の修正
脆弱性識別番号
MS08-012/947085
Publisherのメモリ破損の脆弱性などにより、リモートで任意のコードが実行される危険性
(Microsoft Office Publisher の脆弱性により、リモートでコードが実行される)


対応の緊急性:至急適用 [攻撃コード未公開][攻撃事例なし]

危険性
                 
SP待ち
 
早期適用
 
緊急適用
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃
攻撃手法
脆弱性の影響
リモート攻撃 ウイルス/ワーム 電子メール添付 Webサイトへの誘導 コードの実行 権限の昇格 情報の漏えい サービス拒否 なりすまし
 
       
 
‥‥‥ 概要 ‥‥‥

 Publisherが、読み込んだデータを検証する方法に脆弱性が存在する。細工されたPublisherファイルを開くと、任意のコードが実行される危険性がある。

 攻撃としては、細工したPublisherファイルをWebページ上に置くか、電子メールの添付ファイルとして送信し、それをユーザーに開かせるように誘導する方法が考えられる。Internet Explorer(IE)+Publisher 2000の環境では、警告ダイアログなどは表示されずにPublisherファイルがIEのブラウザ・ウィンドウ内で直接表示されるため、細工されたPublisherファイルへのリンクをクリックするだけで、攻撃が実行されてしまう(Publisher 2002/2003では、[ファイルのダウンロード]ダイアログが表示される)。

 この脆弱性は、特定の企業や団体をターゲットにした電子メール添付型ウイルスに悪用される危険性が高い。またWebページによる攻撃では、スパイウェアやトロイの木馬のインストールに悪用される懸念もある。

 マイクロソフトによれば、MS08-012の脆弱性は非公開で報告されたとしており、現時点では実証コードや攻撃例は確認されていないという。ただし脆弱性の内容が公開されたことから、実証コードが開発され、攻撃に悪用されることが懸念される。至急、修正プログラムを適用した方がよい。

 なおOffice 2003 SP3適用済みのPublisher 2003、Publisher 2007は、MS08-012の脆弱性の影響を受けない。

 
脆弱性の内容

 MS08-012の修正プログラムは、以下の2件の脆弱性を解消する。

■無効なメモリ参照の脆弱性(深刻度:緊急 CVE:CVE-2008-0102)
 Publisherが、Publisherファイルをメモリに読み込む際、正しくアプリケーション・データを検証しないことに起因する脆弱性が存在する。細工されたPublisherファイルを開くと、メモリの参照エラーが発生し、任意のコードが実行される危険性がある。

■メモリ破損の脆弱性(深刻度:緊急 CVE:CVE-2008-0104)
 Publisherが、Publisherファイルをメモリに読み込む際、メモリのインデックス値を正しく検証しないことに起因する脆弱性が存在する。細工されたPublisherファイルを開くと、メモリ破損が起こり、任意のコードが実行される危険性がある。

 
対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
Publisher 2000 Office 2000 SP3
Publisher 2002 Office XP SP3
Publisher 2003 Office 2003 SP2
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows 2000 Professional SP4+Office 2000 Professional SP3
Windows 2000 Server SP4+Office XP Professional SP3
Windows 2000 Server SP4+Office Professional 2003 SP2
Windows XP Professional SP2+Office 2000 Personal SP3
Windows XP Professional SP2+Office XP Standard SP3
Windows XP Professional SP2+Office Professional 2003 Enterprise SP3
Windows Server 2003, Standard Edition SP1+Office 2000 Premium SP3
Windows Server 2003, Standard Edition SP1+Office XP Professional with FrontPage SP3
Windows Server 2003, Enterprise Edition SP2+Office Professional 2003 Enterprise SP2
○は問題なし、△は一部に問題あり、×は適用による障害あり

■MBSA 2.0の結果
 MS08-012のOffice XP/2003向け修正プログラムが正しく適用されているかどうかは、MBSA 2.0.1で確認可能だ。未適用の場合は、「Officeのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。Office 2000は、MSBA 2.0.1でサポートされておらず、適用状態の確認はできない。

  • Microsoft Publisher 2002 セキュリティ更新プログラム: KB946216
  • Microsoft Office Publisher 2003 セキュリティ更新プログラム: KB946254
 
適用時の注意点

■Publisherがインストールされていなくても、修正プログラムの適用が促される
 MS08-012の修正プログラムは、Publisher 2000/2002/2003に存在する脆弱性を解消するものである。しかし別のOfficeアプリケーションでも、この修正プログラムで更新されるファイルのいくつかを使用していることから、Office Updateや自動更新/Microsoft Updateでは、Publisherの有無とは無関係にOffice 2000/XP/2003に対してMS08-012の修正プログラム適用を促すようになっている。なおOffice 2003ファミリについては、Office Professional 2003(Enterprise版やInfoPath 2003付属版も含む)とPublisher 2003単体版だけが適用を促される(このほかのエディションは適用対象外)。

 そのため、Publisherがインストールされていなくても、Office 2000/XP/2003がインストールされていれば、Office Updateや自動更新/Microsoft UpdateなどでMS08-012の修正プログラムが表示される。Publisherのインストールの有無にかかわらず、Office 2000/XP/2003がインストールされている場合は、MS08-012の修正プログラムを適用した方がよい。

■Microsoft UpdateはPublisher 2003 SP3に対しても修正プログラムの適用を促す
  MS08-012の脆弱性は、Office 2003 SP3を適用済みのPublisher 2003では影響を受けない。しかしMicrosoft UpdateはOffice 2003 SP3が適用済みであっても、MS08-012の修正プログラムの適用を促すようになっている。TechNetセキュリティ情報によれば、修正プログラムで置き換わるファイルが、Office 2003 SP3で提供されたものよりも新しいバージョン番号であるため、適用が促されるということだ。脆弱性の影響を受けないため、すぐに適用する必要はない。ただし新しいバージョン番号のファイルは、安定性が向上しているとのことなので、なるべく早期に適用しておくとよい。

■Publisher 2000向けはOffice Updateで提供
  MS08-012のPublisher 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft UpdateはPublisher 2000に対応していないため、MS08-012のPublisher 2000向けの修正プログラムは表示されないので注意が必要だ(自動更新でも適用されない)。ダウンロード・センターで修正プログラムを入手して手動で適用を行うか、Office Updateを実行する必要がある。

 なおPublisher 2002/2003向けの修正プログラムは、Microsoft Updateで提供されるため、ほかのセキュリティ修正プログラムとともに選択・適用が可能だ。

■修正プログラムのアンインストールに必要な条件
  Publisher 2002/2003向けの修正プログラムは、以下の条件を満たせばアンインストール可能である。Publisher 2000向けの修正プログラムはアンインストールできないので適用前に十分な検証を行った方がよい。

  • OSがWindows XP SP2またはWindows Server 2003 SP1/R2/SP2
  • Windows Installer 3.0以降をインストールした後で修正プログラムを適用
  • OfficeのインストールCDにアクセス可能
 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター Office Update/MU/WSUSの表示
Office 2000 SP3
(Publisher 2000)
Publisher 2000 セキュリティ更新プログラム: KB946255
Office XP SP3
(Publisher 2002)
Microsoft Publisher 2002 セキュリティ更新プログラム: KB946216
Office 2003 SP2
(Publisher 2003)
Microsoft Office Publisher 2003 セキュリティ更新プログラム: KB946254
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
Publisher 2000(Office 2000 SP3):
ファイル名 日付 バージョン サイズ
office2000-KB946255-FullFile-JPN.exe 2008/01/16 9.0.11345.0
1,681,480
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %ProgramFiles%\Microsoft Office\Office\ (デフォルトの設定)
MSPUB.EXE 2008/01/03 9.0.8931.0
3,567,616
Microsoft Publisher 2000 Version 6.0
PRTF9.DLL 2005/12/13 9.0.0.8929
110,592
Microsoft Publisher 2000
PTXT9.DLL 2005/12/13 9.0.0.8929
471,040
Microsoft Publisher 2000
Publisherがインストールされていない場合、MSPUB.EXEは存在しない。
 
Publisher 2002(Office XP SP3):
ファイル名 日付 バージョン サイズ
officexp-KB946216-FullFile-JPN.exe 2008/01/11 10.0.6840.0
4,646,464
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %ProgramFiles%\Microsoft Office\Office10\ (デフォルトの設定)
MSPUB.EXE 2007/12/19 10.0.6840.0
4,105,216
Microsoft Publisher
PRTF9.DLL 2007/12/19 10.0.6784.0
137,920
Microsoft Publisher RTF Converter
PTXT9.DLL 2007/12/19 10.0.6840.0
599,040
Microsoft Publisher TXT Converter
PUBCONV.DLL 2007/12/19 10.0.6840.0
603,144
Microsoft Publisher Converter
Publisherがインストールされていない場合、MSPUB.EXEやPUBCONV.DLLは存在しない。

Publisher 2003(Office 2003 SP2):
ファイル名 日付 バージョン サイズ
office2003-KB946254-FullFile-JPN.exe 2008/01/15 11.0.8200.0
3,090,504
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %ProgramFiles%\Microsoft Office\Office11\ (デフォルトの設定)
MSPUB.EXE 2007/12/14 11.0.8200.0
6,747,136
Microsoft Office Publisher
PRTF9.DLL 2007/12/14 11.0.8200.0
133,632
Microsoft Office Publisher RTF Converter
PTXT9.DLL 2007/12/14 11.0.8200.0
612,352
Microsoft Office Publisher TXT Converter
PUBCONV.DLL 2007/12/14 11.0.8200.0
562,184
Microsoft Office Publisher Converter
Publisherがインストールされていない場合、MSPUB.EXEやPUBCONV.DLLは存在しない。
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、MSPUB.EXE/PRTF9.DLL/PTXT9.DLL/PUBCONV.DLLのファイルのバージョンをプロパティで調べることで確認できる。なおPublisherがインストールされていない場合は、MSPUB.EXEやPUBCONV.DLLは存在しない。

 
予想適用時間

修正プログラム名 50台 100台 250台 500台
office2000-KB946255-FullFile-JPN.exe
(Office 2000 SP3)
13分 21分 47分 1時間29分
officexp-KB946216-FullFile-JPN.exe
(Office XP SP3)
13分 22分 49分 1時間33分
office2003-KB946254-FullFile-JPN.exe
(Office 2003 SP2)
13分 21分 48分 1時間31分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 
UpdateEXPERT上の表示

・Office 2000 SP3
[展開ビュー]−[Office]タブに「名前:office2000-KB946255-FullFile-JPN.exe」で登録

・Office XP SP3
[展開ビュー]−[Office]タブに「名前:officexp-KB946216-FullFile-JPN.exe」で登録

Office 2003 SP2:
[展開ビュー]−[Office]タブに「名前:office2003-KB946254-FullFile-JPN.exe」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。