Microsoft Office の脆弱性(CVE-2017-11882)について
2017年11月29日
省庁・団体名
独立行政法人情報処理推進機構
内容
概要
Microsoft 社が提供する、Microsoft Office 数式エディタは、Microsoft Office に付属するコンポーネントです。
Microsoft Office 数式エディタには、スタックベースのバッファオーバーフローの脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、リモートで任意のコードが実行される可能性があります。
本脆弱性の問題は、2017 年 11 月 15 日(日本時間)に公表された、Microsoft 製品に関する脆弱性の修正プログラムにより対策されていますが、本脆弱性の攻撃コードの公開および攻撃コードの悪用事例が確認されたため、修正プログラムを適用していない利用者は、対策済みのバージョンへのアップデートを至急実施してください。
影響を受けるバージョン
- Microsoft Office 2007 Service Pack 3
- Microsoft Office 2010 Service Pack 2 (32-bit editions)
- Microsoft Office 2010 Service Pack 2 (64-bit editions)
- Microsoft Office 2013 Service Pack 1 (32-bit editions)
- Microsoft Office 2013 Service Pack 1 (64-bit editions)
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office 2016 (64-bit edition)
対策
1.脆弱性の解消 - 修正プログラムの適用
Microsoft 社から提供されている修正プログラムを適用して下さい。Windows Update の利用方法については以下のサイトを参照してください。
Windows Update の利用方法については以下のサイトを参照してください。
・Windows Update 利用の手順
Windows 7 / 8.1 に対する月例パッチの利用方法については以下のサイトを参照してください。
・Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報
2.回避策 - 数式エディタを無効化する
Microsoft Office において数式エディタを無効化することで、本件の影響を回避することが可能です。
数式エディタを無効化する方法については以下のサイトを参照してください。
・How to disable Equation Editor 3.0
お問い合わせ
IPA 技術本部 セキュリティセンター
E-mail:vuln-inq@ipa.go.jp
※個別の環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。
参考情報
Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性
脆弱性対策情報データベース JVN iPedia
Microsoft Office 数式エディタにおけるスタックベースのバッファオーバーフローの脆弱性
CVE-2017-11882 - 脆弱性調査レポート
- https://www.softbanktech.jp/information/2017/20171127-01/
2017 年 11 月のセキュリティ情報 (月例)
セキュリティ更新プログラム ガイド
※上記URLの閲覧には利用規約への同意が必要です
サイバーセキュリティ注意喚起サービス「icat for JSON」
~Webコンテンツ内にHTMLタグを記載することで、IPAから発信する「重要なセキュリティ情報」をリアルタイムに自組織内のWebサイト上などに表示できます。脆弱性対策の促進にご活用ください。~