[FFRRA-20090610] Microsoft WordのWorks for Windows 4 文書コンバータにおけるバッファオーバーフローの脆弱性

■ 報告日:
2007年8月11日

■ 公開日:
2009年6月10日

■ 対象OS:
Microsoft Windows

■ ベンダー:
Microsoft
http://www.microsoft.com

■ ソフトウエア名:
Microsoft Word

■ 影響を受けるバージョン:
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
2007 Microsoft Office System

■ ベンダー:
マイクロソフト
http://www.microsoft.com

■ Upcoming Advisory 番号:
FFRUA-20070811

■ 概要:
フォティーンフォティ技術研究所リサーチチームは、Microsoft Wordに含まれているWorks for Windows 4 文書コンバータ(WORKS432.CNV)にスタックベースのバッファオーバフロー脆弱性を発見しました。細工されたWorksファイル(wpsファイル)をWorks for Windows 4 文書コンバータがインストールされたOfficeアプリケーションで開くと、wpsファイル中に含まれる任意のコードが実行される可能性があります。


■ 詳細:
バッファオーバーフロー脆弱性は、Works for Windows 4 文書コンバータがwpsファイルに含まれるフォント名を処理する際に発生します。長いフォントサイズとフォント名を指定する事で、スタック上に確保されたローカルバッファをフォント名で上書きする事ができます。このため、リターンアドレスを上書きすることができ、任意のアドレスにジャンプすることができます。

wpsファイルには、以下に示すように利用フォント名がセットされます。

0F 54 69 6D 65 73 20 4E 65 77 20 52 6F 6D 61 6E

   T  i  m  e  s     N  e  w     R  o  m  a  n

先頭の0x0Fはフォント名のサイズですが、この値を0xFF等大きな値にする事で、バッファオーバーフローが発生します。脆弱性発生箇所はmemcpy()であり、引数として指定されるコピー元バッファはフォント名、コピーサイズはファイル中に指定されたフォント名サイズとなります。バッファオーバーローが発生すると、ローカル変数エリアも上書きされアクセス違反の原因となりますが、攻撃者はこの問題を回避することが可能です。このため、ret命令実行時に任意のアドレスにジャンプさせることができます。

■ 深刻度:
高

■ 対象OS:
Microsoft Windows

■ 脆弱性情報の取り扱い:
本脆弱性は、情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイド」に従って処理されました。
http://www.ipa.go.jp/security/vuln/

■ 対策:
以下のマイクロソフトセキュリティ情報を参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS09-024.mspx

■ 発見者:
鵜飼裕司

■ より詳細な情報:

FFR Prime Analysisサービスでは、

- 本脆弱性のより詳細な分析
- 攻撃案定性分析
- パッチ差分解析
など、より詳細な情報を提供しています。

http://www.fourteenforty.jp/services/index.htm