製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Word および Office 互換機能パックにおける任意のコードを実行される脆弱性

タイトル	Microsoft Word および Office 互換機能パックにおける任意のコードを実行される脆弱性
概要	Microsoft Word 2007、2010 および Office 互換機能パックは、バイナリ (別名 .doc) フォーマットから新しいフォーマットへのファイル変換において、誤ってメモリを割り当てるため、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Microsoft Office File Format Converter の脆弱性」と記載されています。
想定される影響	第三者により、巧妙に細工されたドキュメントを介して、任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年4月8日0:00
登録日	2014年4月10日15:39
最終更新日	2014年4月11日15:54

影響を受けるシステム

マイクロソフト

Microsoft Office 互換機能パック SP3

Microsoft Word 2007 SP3

Microsoft Word 2010 SP1 (32 ビット版)

Microsoft Word 2010 SP1 (64 ビット版)

Microsoft Word 2010 SP2 (32 ビット版)

Microsoft Word 2010 SP2 (64 ビット版)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-1757	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1757
National Vulnerability Database (NVD)
2	CVE-2014-1757	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1757

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS14-017	https://technet.microsoft.com/en-us/security/bulletin/ms14-017
Microsoft サポート
2	Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について	http://support.microsoft.com/kb/935865
Security Research and Defense Blog
3	Assessing risk for the April 2014 security updates	http://blogs.technet.com/b/srd/archive/2014/04/08/assessing-risk-for-the-april-2014-security-updates.aspx
マイクロソフトセキュリティ情報
4	MS14-017	https://technet.microsoft.com/ja-jp/security/bulletin/ms14-017

その他

No	名前	URL
IPA 緊急対策情報
1	Microsoft 製品の脆弱性対策について(2014年4月)	http://www.ipa.go.jp/security/ciadr/vul/20140409-ms.html
JPCERT 注意喚起
2	JPCERT-AT-2014-0015	https://www.jpcert.or.jp/at/2014/at140015.html
JVN
3	JVNVU#96484185	https://jvn.jp/vu/JVNVU96484185/index.html
US-CERT Vulnerability Note
4	VU#882841	http://www.kb.cert.org/vuls/id/882841
警察庁 @police
5	マイクロソフト社のセキュリティ修正プログラムについて(MS14-017,018,019,020)(2014年04月09日)	http://www.npa.go.jp/cyberpolice/topics/?seq=13518

変更履歴

No	変更内容	変更日
0	[2014年04月10日] 掲載 [2014年04月11日] ベンダ情報：マイクロソフト (Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について) を追加参考情報：JVN (JVNVU#96484185) を追加参考情報：US-CERT Vulnerability Note (VU#882841) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-1757

概要	Microsoft Word 2007 SP3 and 2010 SP1 and SP2, and Office Compatibility Pack SP3, allocates memory incorrectly for file conversions from a binary (aka .doc) format to a newer format, which allows remote attackers to execute arbitrary code via a crafted document, aka "Microsoft Office File Format Converter Vulnerability."
公表日	2014年4月9日8:55
登録日	2021年1月26日15:07
最終更新日	2024年11月21日11:04

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:word:2010:sp1::::::
cpe:2.3:a:microsoft:office_compatibility_pack::sp3::::::*
cpe:2.3:a:microsoft:word:2010:sp2::::::
cpe:2.3:a:microsoft:word:2007:sp3::::::

No	URL	refsource	タグ
1	http://www.kb.cert.org/vuls/id/882841
2	http://www.kb.cert.org/vuls/id/882841
3	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-017
4	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-017