公開日:2009/07/17 最終更新日:2009/09/11

JVNVU#545228
Microsoft Office Web コンポーネントのスプレッドシート ActiveX コントロールに脆弱性
緊急

概要

Microsoft が提供する Office Web コンポーネントに含まれるスプレッドシート ActiveX コントロールに脆弱性が存在します。

影響を受けるシステム

Microsoft Office 製品および Microsoft Internet Security and Acceleration Server 製品などが本脆弱性の影響を受けます。

詳しくは、Microsoft が提供する情報をご確認ください。

詳細情報

Microsoft が提供する Office Web コンポーネントに含まれるスプレッドシート ActiveX コントロールには、任意のコードが実行される脆弱性が存在します。なお、本脆弱性に対する攻撃活動が確認されています。

MSRC Blog によると、影響を受ける ActiveX コントロールは以下の製品によってインストールされる可能性があります:

Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 3, Microsoft Office XP Web Components Service Pack 3, Microsoft Office Web Components 2003 Service Pack 3, Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1, Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2006, Internet Security and Acceleration Server 2006 Supportability Update, Microsoft Internet Security and Acceleration Server 2006 Service Pack 1, Microsoft Office Small Business Accounting 2006.

詳しくはベンダが提供する情報をご確認ください。

想定される影響

遠隔の第三者によって、ユーザの権限でコードを実行される可能性があります。

対策方法

2009年7月17日現在、対策方法はありません。

ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • Offie Web コンポーネントのスプレッドシート ActiveX コントロールが Internet Explorer で実行されるのを防ぐ
  • 詳しくは、Microsoft が提供する情報をご確認ください。

参考情報

  1. Vulnerability Note VU#545228
    Microsoft Office Web Components Spreadsheet ActiveX control vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2009.07.17における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-1136
JVN iPedia JVNDB-2009-001894

更新履歴

2009/09/11
関連文書に JVN iPedia へのリンクを追加しました。