JVNVU#545228
Microsoft Office Web コンポーネントのスプレッドシート ActiveX コントロールに脆弱性
緊急
Microsoft が提供する Office Web コンポーネントに含まれるスプレッドシート ActiveX コントロールに脆弱性が存在します。
Microsoft Office 製品および Microsoft Internet Security and Acceleration Server 製品などが本脆弱性の影響を受けます。
詳しくは、Microsoft が提供する情報をご確認ください。
Microsoft が提供する Office Web コンポーネントに含まれるスプレッドシート ActiveX コントロールには、任意のコードが実行される脆弱性が存在します。なお、本脆弱性に対する攻撃活動が確認されています。
MSRC Blog によると、影響を受ける ActiveX コントロールは以下の製品によってインストールされる可能性があります:
Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 3, Microsoft Office XP Web Components Service Pack 3, Microsoft Office Web Components 2003 Service Pack 3, Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1, Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2006, Internet Security and Acceleration Server 2006 Supportability Update, Microsoft Internet Security and Acceleration Server 2006 Service Pack 1, Microsoft Office Small Business Accounting 2006.
詳しくはベンダが提供する情報をご確認ください。
遠隔の第三者によって、ユーザの権限でコードを実行される可能性があります。
2009年7月17日現在、対策方法はありません。
ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- Offie Web コンポーネントのスプレッドシート ActiveX コントロールが Internet Explorer で実行されるのを防ぐ
詳しくは、Microsoft が提供する情報をご確認ください。
-
Vulnerability Note VU#545228
Microsoft Office Web Components Spreadsheet ActiveX control vulnerability
2009.07.17における脆弱性分析結果 緊急
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2009-1136 |
| JVN iPedia |
JVNDB-2009-001894 |
- 2009/09/11
- 関連文書に JVN iPedia へのリンクを追加しました。
