Microsoftワードパッドに任意のコードを実行される脆弱性

　有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は12月12日、Word 97ファイル形式用のワードパッドテキストコンバータの処理に問題があり、任意のコードを実行される脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で公表した。

　Microsoftワードパッドは、Windows OSに標準搭載されているテキストエディタ。ワードパッドにはテキストコンバータ機能があり、Microsoft Office Word形式のファイルを開ける。Word 97ファイル形式用のワードパッドテキストコンバータには、ファイルの処理に問題があり、結果として遠隔の第三者により細工されたファイルを処理する際に、任意のコードを実行される可能性があるという。

　この脆弱性の影響を受けるシステムは、「Microsoft Windows 2000 SP 4」「Windows XP SP2」「Windows XP Professional x64 Edition」および「同SP2」「Windows Server 2003 SP1」および「同SP2」「Windows Server 2003 x64 Edition」および「同SP2」「Windows Server 2003 with SP1 for Itanium-based Systems」および「Windows Server 2003 with SP2 for Itanium-based Systems」。

　12月11日現在、この脆弱性の対策方法は公開されていない。なお、Word 97ファイル形式用のワードパッドテキストコンバータを無効にすることで、想定される影響を軽減できる可能性があるとしている。

　JVNではこの脆弱性の危険度について、攻撃経路では「インターネット経由からの攻撃が可能（高）」、認証レベルでは「匿名もしくは認証なしで攻撃が可能（高）」、攻撃成立に必要なユーザーの関与では「リンクをクリックしたり、ファイルを閲覧するなどのユーザー動作で攻撃される（中）」、攻撃の難易度では「専門的知識や運がなくとも攻撃可能（高）」と分析している。