公開日:2006.06.17 12:13 最終更新日:2006.07.18 5:35

TRTA06-167A
Microsoft Excel に脆弱性

概要


Microsoft Excel には、任意のコード実行が可能な未確認の脆弱性が存在します。

影響を受けるシステム
 - Microsoft Excel 2003
 - Microsoft Excel XP (2002)
 - Microsoft Excel for Mac
  上記以外のバージョンも本脆弱性の影響を受ける可能性があります。

2006/06/17 現在、修正パッチは提供されていません。
回避策として、不審な Excel ファイルを開かない、拡張子が偽装された Excel ファイルにアクセスしないなどが推奨されます。また、Word ファイルや Powerpoint のファイルについても、ファイル内部に Excel ドキュメントが含まれる可能性があるので、上記同様の配慮を推奨します。

2006/06/20 現在、マイクロソフトからアドバイザリが公開されています。
回避策や修正パッチのリリース時期などの詳細は、ベンダの提供する情報をご確認ください。

2006/07/12 現在、マイクロソフトから修正パッチが公開されています。詳しくは、ベンダの提供する情報をご確認ください。

時系列イベント


日時 (JST)内容
2006-07-12 マイクロソフト MS06-037: Microsoft Excel の脆弱性により、リモートでコードが実行される (917285)
脆弱性除去 (CVE-2006-1301, CVE-2006-1302, CVE-2006-1304, CVE-2006-1306, CVE-2006-1308, CVE-2006-1309, CVE-2006-2388, CVE-2006-3059)
2006-06-28 07:30 Full-disclosure [Full-disclosure] "Microsoft Office Excel 2003" Hlink Stack/SEH Overflow Exploit
検証コードに関する報告
2006-06-23 14:59 JPCERT/CC JPCERT-AT-2006-0009: Microsoft Excel 未修正の脆弱性に関する注意喚起
2006-06-22 13:40 Full-disclosure [Full-disclosure] MS Excel Remote Code Execution POC Exploit
脆弱性 (CVE-2006-3059) 検証コードに関する報告
#Cid: 18500.c
#Tested: Excel 2000 on Windows XP SP1
#Tested: Excel 2000 on Windows 2000 SP4
2006-06-22 US-CERT Public Exploit Code for Unpatched Vulnerability in MS Office Hyperlink Object Library
脆弱性(CVE-2006-3086,VU#394444)
2006-06-21 11:02 @police マイクロソフト社の Microsoft Excel の脆弱性について(6/21)更新
2006-06-21 02:17 Full-disclosure [Full-disclosure] Microsoft Excel File Embedded Shockwave Flash Object Exploit
脆弱性 (CVE-2006-3014) 検証コードに関する報告
#Cid: xls-embed-swf-expl.zip
2006-06-21 01:05 SANS Internet Storm Center New Excel 0day (Are we evolving or going in circles?)
2006-06-20 20:17 Microsoft Security Response Center Blog Information on Proof of Concept posting about hlink.dll
2006-06-20 15:33 トレンドマイクロ TROJ_EMBED.AN
2006-06-20 マイクロソフト マイクロソフト セキュリティ アドバイザリ (921365): Excel の脆弱性により、リモートでコードが実行される
2006-06-19 05:50 Full-disclosure [Full-disclosure] ***ULTRALAME*** Microsoft Excel Unicode Overflow ***ULTRALAME***
脆弱性 (CVE-2006-3086) 検証コードに関する報告
#Cid: excelsexywarez.pl
2006-06-17 09:58 US-CERT TA06-167A: Microsoft Excel Vulnerability
US-CERT メーリングリスト経由で Technical Cyber Security Alert 受信
2006-06-17 02:16 SANS Internet Storm Center Reports of Excel 0-Day
2006-06-16 21:09 Microsoft Security Response Center Blog Reports of a new vulnerability in Microsoft Excel
2006-06-16 US-CERT Active Exploitation of a Vulnerability in Microsoft Excel
2006-06-14 シマンテック Trojan.Mdropper.J

参考情報


  1. Technical Cyber Security Alert TA06-167A
    Microsoft Excel Vulnerability
  2. Vendor Status Note JVNTA06-167A
    Microsoft Excel に脆弱性