忍者ブログ
Nalarが日々(?)思うことを徒然なるままに書き連ねる日記もどきです。 以下のアフィリエイトプログラムに参加しています。 ・Amazonアソシエイト・プログラム
[473] [472] [471] [470] [469] [468] [467] [466] [465] [464] [463]
「ワードパッド」に脆弱性、修正パッチは未提供 INTERNET Watch

>マイクロソフトは10日、Windowsに標準で含まれる「ワードパッド」について、特別に細工されたファイルを開くことで任意のコードが実行される可能性のある問題が確認されたとして、セキュリティアドバイザリ(960906)を公開した。

>影響を受けるOSは、Windows XP SP2/2000およびWindows Server 2003。

>この脆弱性は、ワードパッドのテキストコンバーターに存在するもので、ユーザーがワードパッドを使用して特別に細工されたWord 97形式のファイルを開いた場合に、任意のコードを実行させられる危険がある。


え~~と,最後にワードパッド起動したのって・・・何時だっけ(笑)

最近の製品であれば,ほぼ間違いなくMS-Officeがインストールされているわけですから,ユーザーが意図的に起動しない限りワードパッドが起動されることはないと考えていいと思えるので,その意味ではこの脆弱性が問題になるPCは少ないと・・・って甘かった。



>Microsoft Office Word がインストールされている場合、既定で Microsoft Office Word を使用して Word 97 のドキュメントが表示されます。この場合、この脆弱性の影響を受けません。

>しかし、攻撃者が悪質なファイルを Windows Write (.wri) の拡張子を持つ名称にした場合、引き続きワードパッドが呼び出されます。

その手があったか・・・。

Windowsの標準状態だと,拡張子が表示されないからその辺気づかないだろうなぁ・・・。


セキュリティアドバイザリのページでは,問題のあるワードパッドのWord97形式用のテキストコンバーターを無効化する手段が紹介されています。
ただ,この手段を使うと,ワードパッドでWord97形式のファイルが開けなくなるのは勿論,リッチテキスト形式,Word2003形式に変換できなくなるとか,Word2003でも影響を受ける,みたいな書き方をしてあるのが気になりますが。

って,それ以前に,この手順って,XP HomeEditionだと実行できないんですが(-_-)


Wordがインストールされているかどうかチェックして,インストールされていたら,拡張子がwriのファイルもWordで開くように設定変更するようなパッチ(と言うのかなぁ)なりを用意するのがいいんじゃないでしょうか。

Wordの普及率と言うか,プリインストール率と言うか,からすれば,現時点で稼働しているXPマシンならほぼ間違いなくWordはインストールされているでしょうから。

とか言いつつ,手元にはMs-officeがインストールされていないマシンが3台(Windows2000が2台,XPHomeEditionが1台)あったりするわけですが(笑)。
代わりにではないですが,OpenOffice.orgがインストールしてあります(Windows2000マシン1台を除く)。

PR

コメント
ガ~ン(泣)
>え~~と,最後にワードパッド起動したのって・・・何時だっけ(笑)

 私バリバリ現役ですけど(笑)HTMLエディタとしてですが。それはともかく「.wri」なんて拡張子があったんですねぇ。

 ちょっと気になるのは、WinXP SP3はこの脆弱性の影響を受けないという点です。
 だとするとWinXP SP2(とServer2003)で対応出来ないはずはなし…怪しい。

 とはいえ、この脆弱性を解消するため、という訳でもありませんが、そろそろSP3入れようかと思います。HDDも5年目に突入したので換装ついでに。ついでにSP3適用済みXPも1個買おうかな(笑)


>手元にはMs-officeがインストールされていないマシンが~
>OpenOffice.orgがインストールしてあります
 お仲間お仲間♪



 ※全然関係ありませんが、最近すごく悲しかった話。

 仕事上お付き合いのある会社の社長が「自家用ジェット機を買う!自分で操縦する!!」とゆ~ておりました。
 いわゆるVLJ
http://ja.wikipedia.org/wiki/%E8%B6%85%E8%BB%BD%E9%87%8F%E3%82%B8%E3%82%A7%E3%83%83%E3%83%88%E6%A9%9F
 カテゴリーの機体らしく、納入されたら乗せてくれるとのことで、

 +   +
  ∧_∧  +
  (0゚・∀・) ワクワクテカテカ
  (0゚∪ ∪ +
  と__)__)   +

 しておりました。

 …先日お会いしたところ、機体の製造元が潰れた(連邦倒産法第11章を申請)とのことで納入が無期延期に…
 ええ、購入予定機はエクリプス500でございました。
 orz ホンダジェットジャナカッタノネ
【2008/12/11 10:19】 NAME[キツネソバスキー] WEBLINK[] EDIT[]
え~と,
>私バリバリ現役ですけど(笑)HTMLエディタとしてですが。

 MIFESにお世話になりっぱなしです。
 職場ではホームページ・ビルダーも使いますが。


>それはともかく「.wri」なんて拡張子があったんですねぇ。

 私もこの記事読むまで,忘れてましたよ。


>ちょっと気になるのは、WinXP SP3はこの脆弱性の影響を受けないという点です。
>だとするとWinXP SP2(とServer2003)で対応出来ないはずはなし…怪しい。

 セキュリティアドバイザリのページを読む限り(というか,信用する限り),Word97 コンバータが原因なので,XPの稼働率が低い1台にSP3を適用して,該当ファイルを比較してみるのも面白いかも。

該当ファイルは,
 C:\Program Files\Windows NT\Accessories\mswrd8.wpc

 この週末のネタかな(笑)


> 仕事上お付き合いのある会社の社長が「自家用ジェット機を買う!自分で操縦する!!」とゆ~ておりました。

 うわぉ!!!!

 ところで・・・リンク先ページ見て,一番にMU-2が浮かんだ私って・・・。
 もしかしなくても逸般人だろうなぁ(笑)


>…先日お会いしたところ、機体の製造元が潰れた(連邦倒産法第11章を申請)とのことで納入が無期延期に…
>ええ、購入予定機はエクリプス500でございました。
>orz ホンダジェットジャナカッタノネ

 それは・・・・・・。
 何と言ったらいいのか・・・。
【2008/12/11 22:20】 NAME[ナーラー・ヤナ] WEBLINK[URL] EDIT[]
SP3の場合
 C:\Program Files\Windows NT\Accessoriesには以下の4つのファイルが入っておりました。

 mswrd6.wpc  181KB
 mswrd8.wpc  271KB
 wordpad.exe  205KB
 write.wpc   86KB

 全て更新日時は2008/04/14。これらが入っている\Accessoriesフォルダの更新日時は、私が当該パソコンにSP3を入れた日時。
 とすると、SP3導入時に総入替になっているのは間違いなさそうです。
 .wpcファイルがバージョン「2007.10.31.2」で統一されていることからもそれがうかがえます。
(ちなみにワードパッドのバージョンは「5.1.2600.5512」)



>ところで・・・リンク先ページ見て,一番にMU-2が浮かんだ私って・・・。

 私は最初にこの話を聞いたとき、何故か
http://ja.wikipedia.org/wiki/ATG_%E3%82%B8%E3%83%A3%E3%83%99%E3%83%AA%E3%83%B3
 コイツが思い浮かびました。

>>ええ、購入予定機はエクリプス500でございました。
 機種名を訊かなかった(訊けなかった)のと、「遅くても今年度中の納入」とのことで、当時注文殺到だったエクリプスは無いだろう(日本代理店も見つからなかったし)と勝手に思い込んでいたら…
 orz 「セスナ・サイテーション・マスタング」ダトオモッテイタノニ

 Aが駄目ならBと気軽に言える買物ではないので(車とは二桁違う)、他機への変更はしない(手付金も払っているのでしたくない)みたいですが、再建は前途多難な様でして。

 …納入されたら、カタログやらノベルティやらを貰いに行こうかと思ってたのに…
【2008/12/12 09:57】 NAME[キツネソバスキー] WEBLINK[] EDIT[]


コメントフォーム
お名前
タイトル
文字色
メールアドレス
URL
コメント
パスワード
  Vodafone絵文字 i-mode絵文字 Ezweb絵文字


トラックバック
この記事にトラックバックする:


忍者ブログ [PR]
カレンダー
07 2017/08 09
S M T W T F S
1 3 4 5
6 8 9 10
13 14 15 16 18 19
22 23 24 25 26
27 28 29 30 31
フリーエリア
最新CM
[03/15 ナーラー・ヤナ]
[01/15 ナーラー・ヤナ]
[01/15 キツネソバスキー]
[12/17 ナーラー・ヤナ]
[12/17 キツネソバスキー]
プロフィール
HN:
ナーラー・ヤナ
性別:
非公開
バーコード
ブログ内検索