NVD脆弱性詳細

CVE-2011-0033

概要	The OpenType Compact Font Format (CFF) driver in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP1 and SP2, Windows Server 2008 Gold, SP2, and R2, and Windows 7 does not properly validate parameter values in OpenType fonts, which allows remote attackers to execute arbitrary code via a crafted font, aka "OpenType Font Encoded Character Vulnerability."
公表日	2011年2月11日1:00
登録日	2021年1月28日16:37
最終更新日	2024年11月21日10:23

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:microsoft:windows_server_2008::sp2:x32:::::
cpe:2.3:o:microsoft:windows_server_2008:-:sp2:itanium:::::*
cpe:2.3:o:microsoft:windows_server_2008::r2:x64:::::
cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:::::*
cpe:2.3:o:microsoft:windows_7:-:::::::*
cpe:2.3:o:microsoft:windows_server_2008:::x32:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x64:::::*
cpe:2.3:o:microsoft:windows_vista:-:sp1::::::
cpe:2.3:o:microsoft:windows_xp::sp3::::::*
cpe:2.3:o:microsoft:windows_7::::::::
cpe:2.3:o:microsoft:windows_server_2008::sp2:x64:::::
cpe:2.3:o:microsoft:windows_vista::sp1::::::*
cpe:2.3:o:microsoft:windows_server_2008::r2:itanium:::::
cpe:2.3:o:microsoft:windows_server_2003::sp2::::::*
cpe:2.3:o:microsoft:windows_vista::sp2::::::*
cpe:2.3:o:microsoft:windows_2003_server::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2008:::itanium:::::*
cpe:2.3:o:microsoft:windows_2003_server::sp2:itanium:::::

関連情報、対策とツール

No	URL	タグ
1	http://osvdb.org/70821
2	http://secunia.com/advisories/43252	Vendor Advisory
3	http://support.avaya.com/css/P8/documents/100127239
4	http://www.securityfocus.com/bid/46106
5	http://www.securitytracker.com/id?1025034
6	http://www.vupen.com/english/advisories/2011/0320	Vendor Advisory
7	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-007
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/64906
9	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11593
10	http://osvdb.org/70821
11	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11593
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/64906
13	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-007
14	http://www.vupen.com/english/advisories/2011/0320	Vendor Advisory
15	http://www.securitytracker.com/id?1025034
16	http://www.securityfocus.com/bid/46106
17	http://support.avaya.com/css/P8/documents/100127239
18	http://secunia.com/advisories/43252	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN脆弱性情報

複数の Microsoft 製品の Windows OpenType Compact Font Format ドライバにおける任意のコードを実行される脆弱性

タイトル	複数の Microsoft 製品の Windows OpenType Compact Font Format ドライバにおける任意のコードを実行される脆弱性
概要	複数の Microsoft 製品の Windows OpenType Compact Font Format ドライバは、OpenType フォント内にあるパラメータの値を適切に検証しないため、任意のコードを実行される脆弱性が存在します。
想定される影響	第三者により、巧妙に細工されたフォントを介して、任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2011年2月8日0:00
登録日	2011年3月4日15:00
最終更新日	2011年3月4日15:00

影響を受けるシステム

マイクロソフト

Microsoft Windows 7 (x32)

Microsoft Windows 7 (x64)

Microsoft Windows Server 2003

Microsoft Windows Server 2003 (itanium)

Microsoft Windows Server 2003 (x64)

Microsoft Windows Server 2008 (itanium)

Microsoft Windows Server 2008 (x64)

Microsoft Windows Server 2008 (x86)

Microsoft Windows Server 2008 r2(itanium)

Microsoft Windows Server 2008 r2(x64)

Microsoft Windows Vista

Microsoft Windows Vista (x64)

Microsoft Windows XP (x64)

Microsoft Windows XP sp3

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-0033	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0033
National Vulnerability Database (NVD)
2	CVE-2011-0033	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0033

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS11-007	http://www.microsoft.com/technet/security/bulletin/MS11-007.mspx
マイクロソフトセキュリティ情報
2	MS11-007	http://www.microsoft.com/japan/technet/security/bulletin/MS11-007.mspx
富士通セキュリティ情報
3	TA11-039A	http://software.fujitsu.com/jp/security/vulnerabilities/ta11-039a.html
絵でみるセキュリティ情報
4	MS11-007e	http://www.microsoft.com/japan/security/bulletins/MS11-007e.mspx

その他

No	名前	URL
ISS X-Force Database
1	64906	http://xforce.iss.net/xforce/xfdb/64906
JPCERT 緊急報告
2	JPCERT-AT-2011-0003	http://www.jpcert.or.jp/at/2011/at110003.txt
JVN
3	JVNTA11-039A	http://jvn.jp/cert/JVNTA11-039A
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
4	70821	http://osvdb.org/70821
Secunia Advisory
5	SA43252	http://secunia.com/advisories/43252
SecurityFocus
6	46106	http://www.securityfocus.com/bid/46106
SecurityTracker
7	1025034	http://securitytracker.com/id?1025034
US-CERT Cyber Security Alerts
8	SA11-039A	http://www.us-cert.gov/cas/alerts/SA11-039A.html
US-CERT Technical Cyber Security Alert
9	TA11-039A	http://www.us-cert.gov/cas/techalerts/TA11-039A.html
VUPEN Security
10	VUPEN/ADV-2011-0320	http://www.vupen.com/english/advisories/2011/0320
警察庁 @police
11	マイクロソフト社のセキュリティ修正プログラムについて(MS11-003,004,005,006,007,008,009,010,011,012,013,014)	http://www.npa.go.jp/cyberpolice/#topics

変更履歴

No	変更内容	変更日
0	[2011年03月04日] 掲載	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:o:microsoft:windows_server_2008::sp2:x32:::::
cpe:2.3:o:microsoft:windows_server_2008:-:sp2:itanium:::::*
cpe:2.3:o:microsoft:windows_server_2008::r2:x64:::::
cpe:2.3:o:microsoft:windows_xp:-:sp2:x64:::::*
cpe:2.3:o:microsoft:windows_7:-:::::::*
cpe:2.3:o:microsoft:windows_server_2008:::x32:::::*
cpe:2.3:o:microsoft:windows_server_2008:::x64:::::*
cpe:2.3:o:microsoft:windows_vista:-:sp1::::::
cpe:2.3:o:microsoft:windows_xp::sp3::::::*
cpe:2.3:o:microsoft:windows_7::::::::
cpe:2.3:o:microsoft:windows_server_2008::sp2:x64:::::
cpe:2.3:o:microsoft:windows_vista::sp1::::::*
cpe:2.3:o:microsoft:windows_server_2008::r2:itanium:::::
cpe:2.3:o:microsoft:windows_server_2003::sp2::::::*
cpe:2.3:o:microsoft:windows_vista::sp2::::::*
cpe:2.3:o:microsoft:windows_2003_server::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2008:::itanium:::::*
cpe:2.3:o:microsoft:windows_2003_server::sp2:itanium:::::