CVE-2011-3402 の詳細
CVEの情報
説明:
Unspecified vulnerability in the TrueType font parsing engine in win32k.sys in the kernel-mode drivers in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2, and R2 SP1, and Windows 7 Gold and SP1 allows remote attackers to execute arbitrary code via crafted font data in a Word document or web page, as exploited in the wild in November 2011 by Duqu, aka "TrueType Font Parsing Vulnerability."
CVE更新日: 2011-11-04 21:55:04.693000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2025-10-06
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.782850000
EPSS更新日: 2026-07-18 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2011-3402について、以下の観点で解説します。
1. 脆弱性の概要
CVE-2011-3402は、Microsoft Windowsのカーネルモードドライバー
win32k.sys内のTrueTypeフォント解析エンジンにおける未特定の脆弱性です。攻撃者は、細工されたフォントデータを含むWord文書やWebページを介して、任意のコードをリモートで実行する可能性があります。この脆弱性は、2011年11月にDuquマルウェアによって実環境で悪用されたことが確認されています。1.1 影響
この脆弱性が悪用された場合、攻撃者はカーネルモードで任意のコードを実行できる可能性があります。これにより、攻撃者はプログラムのインストール、データの表示・変更・削除、または完全なユーザー権限を持つ新しいアカウントの作成など、影響を受けるシステムを完全に制御できる可能性があります。システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
1.2 深刻度
この脆弱性の深刻度は「高」と評価されています。CVSSスコアは8.8であり、昇格された権限を必要とせず、ネットワークベースの攻撃ベクトルを持ち、悪用が比較的容易であるため、組織にとって高いリスクを示しています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
以下のMicrosoft Windowsバージョンが影響を受けます。 * Microsoft Windows XP SP2 および SP3 * Windows Server 2003 SP2 * Windows Vista SP2 * Windows Server 2008 SP2、R2、および R2 SP1 * Windows 7 Gold および SP1
2.2 影響を受ける設定
TrueTypeフォント解析エンジンが関与する設定が影響を受けます。具体的には、細工されたフォントデータが埋め込まれたWord文書やWebページを開くことによって脆弱性が悪用されます。
3. 影響を受けた時の兆候
Exploit:Win32/CVE-2011-3402は、Microsoft Windowsコンポーネント「Win32k.sys」のWin32 TrueTypeフォント解析エンジンにおける脆弱性を悪用しようとする悪意のあるコードの検出名です。この検出は、システムが攻撃を受けている、または既に侵害されている可能性を示します。成功した場合、攻撃者はカーネルモードで任意のコードを実行し、システムの完全な制御を奪います。
4. 推奨対策
4.1 本対策
Microsoftから提供されている最新のセキュリティ更新プログラムを適用することが最も推奨される対策です。具体的には、Microsoft Security Bulletin MS11-087がこの脆弱性に対処するためにリリースされました。また、Microsoftセキュリティアドバイザリ2639658も関連情報として参照されます。
4.2 暫定回避策(緩和策)
Microsoftは、特定のコンテキストにおいてこの脆弱性に対する回避策を特定していないと述べています。 ただし、以前のセキュリティアドバイザリ(2639658)では、Windows XPおよびWindows Server 2003においてT2EMBED.DLLへのアクセスを制限する回避策が示されていましたが、後に声明が修正されています。JVNでもT2EMBED.dllへのアクセスを制限することが緩和策として挙げられていますが、詳細はMicrosoftの情報を確認するよう促しています。 攻撃者がこの脆弱性を悪用した場合でも、現在のユーザーと同じユーザー権限を取得するため、システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて影響が少ない可能性があります。
参照したサイト