第12-07-243号
最終更新日:2012年4月11日
※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
日本マイクロソフト社の Microsoft Office 等にリモートからコード(命令)が実行される脆弱性が存在します。(2664258)(MS12-027)
MSCOMCTL.OCX の RCE の脆弱性 - CVE-2012-0158
この脆弱性は、Microsoft Office 等で利用する Windows コモンコントロール の ActiveX の処理に存在します。攻撃者は、細工したウェブサイトを作成し利用者を誘導します。利用者がそのウェブサイトを閲覧した場合、コンピュータを攻撃者により制御される恐れがあります。
この脆弱性を悪用した攻撃が確認されたとの情報があるため、MS12-027 を至急適用してください。
対象
次の Windows 製品が対象です。
- Microsoft Office 2003 SP3
- Microsoft Office 2003 Web コンポーネント SP3
- Microsoft Office 2007 SP2
- Microsoft Office 2007 SP3
- Microsoft Office 2010 (32ビット版)
- Microsoft Office 2010 SP1 (32ビット版)
- Microsoft SQL Server 2000 Analysis Services SP4
- Microsoft SQL Server 2000 SP4
- Microsoft SQL Server 2005 Express Edition with Advanced Services SP4
- Microsoft SQL Server 2005 for 32-bit Systems SP4
- Microsoft SQL Server 2005 for Itanium-based Systems SP4
- Microsoft SQL Server 2005 for x64-based Systems SP4
- Microsoft SQL Server 2008 for 32-bit Systems SP2
- Microsoft SQL Server 2008 for 32-bit Systems SP3
- Microsoft SQL Server 2008 for x64-based Systems SP2
- Microsoft SQL Server 2008 for x64-based Systems SP3
- Microsoft SQL Server 2008 for Itanium-based Systems SP2
- Microsoft SQL Server 2008 for Itanium-based Systems SP3
- Microsoft SQL Server 2008 R2 for 32-bit Systems
- Microsoft SQL Server 2008 R2 for x64-based Systems
- Microsoft SQL Server 2008 R2 for Itanium-based Systems
- Microsoft BizTalk Server 2002 SP1
- Microsoft Commerce Server 2002 SP4
- Microsoft Commerce Server 2007 SP2
- Microsoft Commerce Server 2009
- Microsoft Commerce Server 2009 R2
- Microsoft Visual FoxPro 8.0 SP1
- Microsoft Visual FoxPro 9.0 SP2
- Visual Basic 6.0 ランタイム
対策
1.脆弱性の解消 - 修正プログラムの適用 -
日本マイクロソフト社から提供されている修正プログラムを適用して下さい。修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。
- Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/
Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/ja-jp/security/pc-security/j_musteps.aspx
なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。 - 個別の修正プログラムをダウンロードしてインストールする方法下記の日本マイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027
2.回避策 -
日本マイクロソフト社から提供される情報を参照して下さい。
- 日本マイクロソフト社からの情報(MS12-027)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027
参考情報
-
US-CERT
http://www.us-cert.gov/cas/techalerts/TA12-101A.html -
SecurityFocus
http://www.securityfocus.com/bid/52911 -
Secunia
http://secunia.com/advisories/48786 -
CVE
CVE-2012-0158
更新履歴
2012年4月11日 | 掲載 |
---|