マイクロソフトOfficeのOneNoteがコード実行を許可 2008年9月9日
マイクロソフトOfficeのOneNoteがコード実行を許可
危険度:高
2008年9月9日
【概要】
対象:
最新バージョンのWindows版Microsoft Office(Mac版は対象外)
悪用方法:
ユーザが悪性のリンクをクリックするように攻撃者が誘導する。
結果:
攻撃者はコードを実行し、ユーザのコンピュータを完全に操作できるようになる可能性がある。
対策:
状況に適したOfficeパッチを至急インストールすること。
【詳細】
米国時間の9月9日、マイクロソフトは最新バージョンのMicrosoft Officeに搭載されているOffice OneNote(オフィス ワンノート)に見られる脆弱性について説明したセキュリティ情報をリリースした。OneNoteは、管理や検索、確証作業などを行いやすくするために情報を一箇所に収集することができるデジタル・ノートブックだが、マイクロソフトによると、OneNoteは未特定の「検証エラー」の影響を受けているという。そのエラーは[onefile://]URIを含む細工されたリンクを処理する方法に関係しており、そのリンクをユーザがクリックするように誘導することで攻撃者は欠陥を悪用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行することができる。また、ユーザに管理者の権限がある場合、その他のWindows欠陥と同様に、攻撃者はこの攻撃を利用してユーザのコンピュータを完全に操作できるようになる。
【対策】
マイクロソフトこのようなセキュリティ問題をすべて修正するOfficeのパッチをリリースしているので、状況に適したパッチを至急ダウンロードしテストしてからネットワーク全体に導入することをすすめる。
ウォッチガード・ユーザ対象:
ユーザが普段通りにウェブサイトを閲覧している間に、この欠陥の誘引となる悪性のリンクに遭遇することがあるためパッチを導入することが主な対策となる。
【ステータス】
マイクロソフトはこのセキュリティ問題を修正するOfficeアップデートをリリースしている。
【参考資料】
・MSセキュリティ情報:MS08-055 (日本語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
危険度:高
2008年9月9日
【概要】
対象:
最新バージョンのWindows版Microsoft Office(Mac版は対象外)
悪用方法:
ユーザが悪性のリンクをクリックするように攻撃者が誘導する。
結果:
攻撃者はコードを実行し、ユーザのコンピュータを完全に操作できるようになる可能性がある。
対策:
状況に適したOfficeパッチを至急インストールすること。
【詳細】
米国時間の9月9日、マイクロソフトは最新バージョンのMicrosoft Officeに搭載されているOffice OneNote(オフィス ワンノート)に見られる脆弱性について説明したセキュリティ情報をリリースした。OneNoteは、管理や検索、確証作業などを行いやすくするために情報を一箇所に収集することができるデジタル・ノートブックだが、マイクロソフトによると、OneNoteは未特定の「検証エラー」の影響を受けているという。そのエラーは[onefile://]URIを含む細工されたリンクを処理する方法に関係しており、そのリンクをユーザがクリックするように誘導することで攻撃者は欠陥を悪用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行することができる。また、ユーザに管理者の権限がある場合、その他のWindows欠陥と同様に、攻撃者はこの攻撃を利用してユーザのコンピュータを完全に操作できるようになる。
【対策】
マイクロソフトこのようなセキュリティ問題をすべて修正するOfficeのパッチをリリースしているので、状況に適したパッチを至急ダウンロードしテストしてからネットワーク全体に導入することをすすめる。
ウォッチガード・ユーザ対象:
ユーザが普段通りにウェブサイトを閲覧している間に、この欠陥の誘引となる悪性のリンクに遭遇することがあるためパッチを導入することが主な対策となる。
【ステータス】
マイクロソフトはこのセキュリティ問題を修正するOfficeアップデートをリリースしている。
【参考資料】
・MSセキュリティ情報:MS08-055 (日本語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。