製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Works 7 などに実装される WkImgSrv.dll におけるサービス運用妨害 (DoS) の脆弱性

Title	Microsoft Works 7 などに実装される WkImgSrv.dll におけるサービス運用妨害 (DoS) の脆弱性
Summary	Microsoft Works 7、Microsoft Office 2003 および 2007 に実装される WkImgSrv.dll の特定の ActiveX コントロールには、任意のコードを実行される、およびサービス運用妨害 (ブラウザクラッシュ) 状態となる脆弱性が存在します。
Possible impacts	第三者により、無効な WksPictureInterface プロパティ値を介して、適切でない関数呼び出しを誘発され、任意のコードを実行される、またはサービス運用妨害 (ブラウザクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 21, 2008, midnight
Registration Date	Sept. 25, 2012, 5:16 p.m.
Last Update	Sept. 25, 2012, 5:16 p.m.

Affected System

マイクロソフト

Microsoft Office 2003 2003 および 2007

Microsoft Works 7

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-1898	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1898
National Vulnerability Database (NVD)
2	CVE-2008-1898	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1898

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Microsoft
1	Why there won't be a security update for WkImgSrv.dll	http://blogs.technet.com/b/srd/archive/2008/06/05/why-there-wont-be-a-security-update-for-wkimgsrv-dll.aspx

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-1898

Summary	A certain ActiveX control in WkImgSrv.dll 7.03.0616.0, as distributed in Microsoft Works 7 and Microsoft Office 2003 and 2007, allows remote attackers to execute arbitrary code or cause a denial of service (browser crash) via an invalid WksPictureInterface property value, which triggers an improper function call.
Summary	Un cierto control ActiveX en la biblioteca WkImgSrv.dll versión 7.03.0616.0, tal como se distribuye en Microsoft Works 7 y Microsoft Office 2003 y 2007, permite a los atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (bloqueo del navegador) por medio de un valor de propiedad WksPictureInterface no válido, que desencadena una llamada de función inapropiada.
Publication Date	April 22, 2008, 2:05 a.m.
Registration Date	Jan. 29, 2021, 1:35 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://archives.neohapsis.com/archives/fulldisclosure/2008-05/0029.html	cve@mitre.org
2	http://blogs.technet.com/swi/archive/2008/06/05/why-there-wont-be-a-security-update-for-wkimgsrv-dll.aspx	cve@mitre.org
3	http://www.securityfocus.com/archive/1/491027/100/0/threaded	cve@mitre.org
4	http://www.securityfocus.com/bid/28820	cve@mitre.org
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/41876	cve@mitre.org
6	https://www.exploit-db.com/exploits/5460	cve@mitre.org
7	https://www.exploit-db.com/exploits/5530	cve@mitre.org
8	http://archives.neohapsis.com/archives/fulldisclosure/2008-05/0029.html	af854a3a-2127-422b-91ae-364da2661108
9	http://blogs.technet.com/swi/archive/2008/06/05/why-there-wont-be-a-security-update-for-wkimgsrv-dll.aspx	af854a3a-2127-422b-91ae-364da2661108
10	http://www.securityfocus.com/archive/1/491027/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
11	http://www.securityfocus.com/bid/28820	af854a3a-2127-422b-91ae-364da2661108
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/41876	af854a3a-2127-422b-91ae-364da2661108
13	https://www.exploit-db.com/exploits/5460	af854a3a-2127-422b-91ae-364da2661108
14	https://www.exploit-db.com/exploits/5530	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html