製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Word およびその他の製品における任意のコードを実行される脆弱性

Title	Microsoft Word およびその他の製品における任意のコードを実行される脆弱性
Summary	Microsoft Word およびその他の製品には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Word RTF のメモリ破損の脆弱性」と記載されています。本脆弱性への攻撃が 2014 年 3 月に観測されています。
Possible impacts	第三者により、巧妙に細工された RTF データを介して、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 24, 2014, midnight
Registration Date	March 26, 2014, 6:02 p.m.
Last Update	May 11, 2015, 4:24 p.m.

CVSS2.0 : 危険
Score	9.3
Vector	AV:N/AC:M/Au:N/C:C/I:C/A:C

Affected System

マイクロソフト

Microsoft Office for Mac 2011

Microsoft Office Web Apps 2010 SP1

Microsoft Office Web Apps 2010 SP2

Microsoft Office Web Apps Server 2013

Microsoft Office Web Apps Server 2013 SP1

Microsoft Office 互換機能パック SP3

Microsoft SharePoint Server 2010 SP1 上の Word Automation Services

Microsoft SharePoint Server 2010 SP2 上の Word Automation Services

Microsoft SharePoint Server 2013 SP1 上の Word Automation Services

Microsoft SharePoint Server 2013 上の Word Automation Services

Microsoft Word 2003 SP3

Microsoft Word 2007 SP3

Microsoft Word 2010 SP1 (32 ビット版)

Microsoft Word 2010 SP1 (64 ビット版)

Microsoft Word 2010 SP2 (32 ビット版)

Microsoft Word 2010 SP2 (64 ビット版)

Microsoft Word 2013 (32 ビット版)

Microsoft Word 2013 (64 ビット版)

Microsoft Word 2013 RT

Microsoft Word 2013 RT SP1

Microsoft Word 2013 SP1 (32 ビット版)

Microsoft Word 2013 SP1 (64 ビット版)

Microsoft Word Viewer

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-1761	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1761
National Vulnerability Database (NVD)
2	CVE-2014-1761	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1761

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
Microsoft Security Advisory
1	(2953095) Vulnerability in Microsoft Word Could Allow Remote Code Execution	https://technet.microsoft.com/en-us/security/advisory/2953095
Microsoft Security Bulletin
2	MS14-017	https://technet.microsoft.com/en-us/security/bulletin/ms14-017
Security Research and Defense Blog
3	Assessing risk for the April 2014 security updates	http://blogs.technet.com/b/srd/archive/2014/04/08/assessing-risk-for-the-april-2014-security-updates.aspx
マイクロソフトセキュリティアドバイザリ
4	(2953095) Microsoft Word の脆弱性により、リモートでコードが実行される	http://technet.microsoft.com/ja-jp/security/advisory/2953095
マイクロソフトセキュリティ情報
5	MS14-017	https://technet.microsoft.com/ja-jp/security/bulletin/ms14-017

その他

No	Name	URL
IPA 緊急対策情報
1	Microsoft Word の脆弱性対策について(CVE-2014-1761)	http://www.ipa.go.jp/security/ciadr/vul/20140325-ms.html
2	Microsoft 製品の脆弱性対策について(2014年4月)	http://www.ipa.go.jp/security/ciadr/vul/20140409-ms.html
JPCERT 注意喚起
3	JPCERT-AT-2014-0012	http://www.jpcert.or.jp/at/2014/at140012.html
4	JPCERT-AT-2014-0015	https://www.jpcert.or.jp/at/2014/at140015.html
JVN
5	JVNTA#99041988	http://jvn.jp/ta/JVNTA99041988/
US-CERT Technical Cyber Security Alert
6	TA15-119A	https://www.us-cert.gov/ncas/alerts/TA15-119A
警察庁 @police
7	マイクロソフト社のセキュリティ修正プログラムについて(MS14-017,018,019,020)(2014年04月09日)	http://www.npa.go.jp/cyberpolice/topics/?seq=13518

Change Log

No	Changed Details	Date of change
0	[2014年03月26日] 掲載 [2014年04月10日] 概要：内容を更新影響を受けるシステム：マイクロソフト (MS14-017) の情報を追加ベンダ情報：マイクロソフト (MS14-017) を追加ベンダ情報：マイクロソフト (Assessing risk for the April 2014 security updates) を追加参考情報：IPA 緊急対策情報 (Microsoft 製品の脆弱性対策について(2014年4月)) を追加参考情報：JPCERT 注意喚起 (JPCERT-AT-2014-0015) を追加参考情報：警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-017,018,019,020)) を追加 [2015年05月11日] 　参考情報：JVN (JVNTA#99041988) を追加　参考情報：US-CERT Technical Cyber Security Alert (TA15-119A) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-1761

Summary	Microsoft Word 2003 SP3, 2007 SP3, 2010 SP1 and SP2, 2013, and 2013 RT; Word Viewer; Office Compatibility Pack SP3; Office for Mac 2011; Word Automation Services on SharePoint Server 2010 SP1 and SP2 and 2013; Office Web Apps 2010 SP1 and SP2; and Office Web Apps Server 2013 allow remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted RTF data, as exploited in the wild in March 2014.
Summary	Microsoft Word 2003 SP3, 2007 SP3, 2010 SP1 y SP2, 2013 y 2013 RT; Word Viewer; Office Compatibility Pack SP3; Office para Mac 2011; Word Automation Services en SharePoint Server 2010 SP1 y SP2 y 2013; Office Web Apps 2010 SP1 y SP2 y Office Web Apps Server 2013 permiten a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria) a través de datos RTF manipulados, tal y como fue explotado en marzo 2014.
Publication Date	March 25, 2014, 10:24 p.m.
Registration Date	Jan. 26, 2021, 3:07 p.m.
Last Update	April 22, 2026, 4:04 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:microsoft:office:2011:::::macos::
cpe:2.3:a:microsoft:office_compatibility_pack:-:sp3::::::
cpe:2.3:a:microsoft:office_web_apps:2010:sp1::::::
cpe:2.3:a:microsoft:office_web_apps:2010:sp2::::::
cpe:2.3:a:microsoft:office_web_apps_server:2013:::::::*
cpe:2.3:a:microsoft:sharepoint_server:2010:sp1::::::
cpe:2.3:a:microsoft:sharepoint_server:2010:sp2::::::
cpe:2.3:a:microsoft:sharepoint_server:2013:::::::*
cpe:2.3:a:microsoft:word:2003:sp3::::::
cpe:2.3:a:microsoft:word:2007:sp3::::::
cpe:2.3:a:microsoft:word:2010:sp1::::::
cpe:2.3:a:microsoft:word:2010:sp2::::::
cpe:2.3:a:microsoft:word:2013::::-:::
cpe:2.3:a:microsoft:word:2013::::rt:::
cpe:2.3:a:microsoft:word:2013:sp1:::-:::*
cpe:2.3:a:microsoft:word:2013:sp1:::rt:::*
cpe:2.3:a:microsoft:word_viewer:-:::::::*

Related information, measures and tools

No	URL	refsource
1	http://technet.microsoft.com/security/advisory/2953095	secure@microsoft.com
2	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-017	secure@microsoft.com
3	http://technet.microsoft.com/security/advisory/2953095	af854a3a-2127-422b-91ae-364da2661108
4	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-017	af854a3a-2127-422b-91ae-364da2661108
5	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2014-1761	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-787	境界外書き込み	https://cwe.mitre.org/data/definitions/787.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:microsoft:office:2011:::::macos::
cpe:2.3:a:microsoft:office_compatibility_pack:-:sp3::::::
cpe:2.3:a:microsoft:office_web_apps:2010:sp1::::::
cpe:2.3:a:microsoft:office_web_apps:2010:sp2::::::
cpe:2.3:a:microsoft:office_web_apps_server:2013:::::::*
cpe:2.3:a:microsoft:sharepoint_server:2010:sp1::::::
cpe:2.3:a:microsoft:sharepoint_server:2010:sp2::::::
cpe:2.3:a:microsoft:sharepoint_server:2013:::::::*
cpe:2.3:a:microsoft:word:2003:sp3::::::
cpe:2.3:a:microsoft:word:2007:sp3::::::
cpe:2.3:a:microsoft:word:2010:sp1::::::
cpe:2.3:a:microsoft:word:2010:sp2::::::
cpe:2.3:a:microsoft:word:2013::::-:::
cpe:2.3:a:microsoft:word:2013::::rt:::
cpe:2.3:a:microsoft:word:2013:sp1:::-:::*
cpe:2.3:a:microsoft:word:2013:sp1:::rt:::*
cpe:2.3:a:microsoft:word_viewer:-:::::::*