第12-16-252号
最終更新日:2012年7月11日
※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
日本マイクロソフト社の Microsoft Office 等にリモートからコード(命令)が実行される等の脆弱性が存在します。(KB2707960)(MS12-046) この脆弱性は、Microsoft Office 等の外部のダイナミックリンクライブラリ(DLL)ファイルの処理に存在します。
Visual Basic for Applications の安全でないライブラリのロードの脆弱性 -CVE-2012-1854
利用者が特別な細工がされたダイナミックリンクライブラリ(DLL)ファイルと同じディレクトリにある正当なファイルを開くことで攻撃が成立します。その結果、DLL ファイルをロードし、それに含まれている任意のコードが実行される可能性があります。
この脆弱性を悪用した攻撃が確認されたとの情報があるため、MS12-046 を至急適用してください。
対象
- Microsoft Office 2003 Service Pack 3
- Microsoft Office 2007 Service Pack 2
- Microsoft Office 2007 Service Pack 3
- Microsoft Office 2010 (32 ビット版)
- Microsoft Office 2010 Service Pack 1 (32 ビット版)
- Microsoft Office 2010 (64 ビット版)
- Microsoft Office 2010 Service Pack 1 (64 ビット版)
- Microsoft Visual Basic for Applications
- Microsoft Visual Basic for Applications SDK
対策
1. 脆弱性の解消 - 修正プログラムの適用 -
日本マイクロソフト社から提供されている修正プログラムを適用して下さい。修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。- Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/
Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx
なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。 - 個別の修正プログラムをダウンロードしてインストールする方法
下記の日本マイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/security/bulletin/MS12-046
2. 回避策 -
日本マイクロソフト社から提供される情報を参照して下さい。- 日本マイクロソフト社からの情報(MS12-046)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-046
参考情報
-
SecurityFocus
http://www.securityfocus.com/bid/54303 -
CVE
CVE-2012-1854 -
Secunia
http://secunia.com/advisories/49800/ -
Symantec
http://www.symantec.com/connect/blogs/targeted-attacks-exploit-vba-vulnerability-july-ms-tuesday -
IPA - 任意のDLL/実行ファイル読み込みに関する脆弱性の注意喚起
http://www.ipa.go.jp/about/press/20101111.html
更新履歴
2012年7月11日 | 掲載 |
---|