NVD脆弱性詳細

CVE-2006-2492

概要	Buffer overflow in Microsoft Word in Office 2000 SP3, Office XP SP3, Office 2003 Sp1 and SP2, and Microsoft Works Suites through 2006, allows user-assisted attackers to execute arbitrary code via a malformed object pointer, as originally reported by ISC on 20060519 for a zero-day attack.
公表日	2006年5月20日9:02
登録日	2021年1月29日15:37
最終更新日	2024年6月28日23:15

CVSS3.1 : HIGH
スコア	8.8
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
スコア	7.6
ベクター	AV:N/AC:H/Au:N/C:C/I:C/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃前の認証要否(Au)	不要
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高
全ての特権を取得	はい
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:office:2003:sp1::::::
cpe:2.3:a:microsoft:office:xp:sp3::::::
cpe:2.3:a:microsoft:office:2003:sp2::::::
cpe:2.3:a:microsoft:office:2000:sp3::::::
cpe:2.3:a:microsoft:works_suite::::::::	2000	2006

関連情報、対策とツール

No	URL	refsource	タグ
1	http://isc.sans.org/diary.php?storyid=1345	MISC	Exploit
2	http://isc.sans.org/diary.php?storyid=1346	MISC	Exploit
3	http://www.kb.cert.org/vuls/id/446012	CERT-VN	Third Party Advisory US Government Resource
4	http://blogs.technet.com/msrc/archive/2006/05/19/429353.aspx	MISC	Broken Link
5	http://www.us-cert.gov/cas/techalerts/TA06-139A.html	CERT	Broken Link Third Party Advisory US Government Resource
6	http://www.securityfocus.com/bid/18037	BID	Broken Link Patch Third Party Advisory VDB Entry
7	http://www.osvdb.org/25635	OSVDB	Broken Link
8	http://securitytracker.com/id?1016130	SECTRACK	Broken Link Third Party Advisory VDB Entry
9	http://secunia.com/advisories/20153	SECUNIA	Broken Link Patch Vendor Advisory
10	http://www.microsoft.com/technet/security/advisory/919637.mspx	CONFIRM	Broken Link Patch Vendor Advisory
11	http://www.us-cert.gov/cas/techalerts/TA06-164A.html	CERT	Broken Link Third Party Advisory US Government Resource
12	http://www.vupen.com/english/advisories/2006/1872	VUPEN	Broken Link
13	https://exchange.xforce.ibmcloud.com/vulnerabilities/26556	XF	Third Party Advisory VDB Entry
14	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A2068	OVAL	Broken Link
15	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A1738	OVAL	Broken Link
16	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A1418	OVAL	Broken Link
17	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2006/ms06-027	MS	Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-120	古典的バッファオーバーフロー	https://cwe.mitre.org/data/definitions/120.html

JVN脆弱性情報

Microsoft Word における不正なオブジェクトポインタによるメモリ破壊の脆弱性

タイトル	Microsoft Word における不正なオブジェクトポインタによるメモリ破壊の脆弱性
概要	Microsoft Word には、不正な形式のオブジェクトポインタを処理した場合、メモリ領域が破壊される脆弱性が存在します。
想定される影響	Microsoft Word を実行するユーザの権限で任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2006年5月19日0:00
登録日	2007年4月1日0:00
最終更新日	2024年7月5日14:37

影響を受けるシステム

マイクロソフト

Microsoft Word 2000

Microsoft Word 2002

Microsoft Word 2003

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
CISA Known Exploited Vulnerabilities Catalog
1	CVE-2006-2492	https://cisa.gov/known-exploited-vulnerabilities-catalog
Common Vulnerabilities and Exposures (CVE)
2	CVE-2006-2492	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2492
National Vulnerability Database (NVD)
3	CVE-2006-2492	http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-2492

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-120	https://cwe.mitre.org/data/definitions/120.html

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS06-027	http://www.microsoft.com/technet/security/bulletin/MS06-027.mspx
マイクロソフトセキュリティ情報
2	MS06-027	http://www.microsoft.com/japan/technet/security/bulletin/MS06-027.mspx

その他

No	名前	URL
IPA 緊急対策情報
1	20060614-ms06-021	http://www.ipa.go.jp/security/ciadr/vul/20060614-ms06-021.html
2	20060614-ms06-025	http://www.ipa.go.jp/security/ciadr/vul/20060614-ms06-025.html
JPCERT 緊急報告
3	JPCERT-AT-2006-0006	http://www.jpcert.or.jp/at/2006/at060006.txt
4	JPCERT-AT-2006-0007	http://www.jpcert.or.jp/at/2006/at060007.txt
JVN
5	JVNTA06-139A	http://jvn.jp/cert/JVNTA06-139A/index.html
6	JVNTA06-164A	http://jvn.jp/cert/JVNTA06-164A/index.html
JVN Status Tracking Notes
7	TRTA06-139A	http://jvn.jp/tr/TRTA06-139A/
8	TRTA06-164A	http://jvn.jp/tr/TRTA06-164A
Secunia Advisory
9	SA20153	http://secunia.com/advisories/20153/
SecurityFocus
10	18037	http://www.securityfocus.com/bid/18037
The SANS Institute Diary
11	1345	http://isc.sans.org/diary.php?storyid=1345
12	1346	http://isc.sans.org/diary.php?storyid=1346
13	1348	http://isc.sans.org/diary.php?storyid=1348
US-CERT Cyber Security Alerts
14	SA06-139A	http://www.us-cert.gov/cas/alerts/SA06-139A.html
15	SA06-164A	http://www.us-cert.gov/cas/alerts/SA06-164A.html
US-CERT Technical Cyber Security Alert
16	TA06-139A	http://www.us-cert.gov/cas/techalerts/TA06-139A.html
17	TA06-164A	http://www.us-cert.gov/cas/techalerts/TA06-164A.html
US-CERT Vulnerability Note
18	VU#446012	http://www.kb.cert.org/vuls/id/446012
警察庁 @police
19	マイクロソフト社のセキュリティ修正プログラムについて	http://www.cyberpolice.go.jp/important/2006/20060614_085843.html

変更履歴

No	変更内容	変更日
0	[2007年04月01日] 掲載	2018年2月17日10:37
1	[2024年07月05日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新参考情報：CISA Known Exploited Vulnerabilities Catalog (CVE-2006-2492) を追加	2024年7月5日10:42