【活用ガイド】

JVNDB-2009-001894

Microsoft Office Web コンポーネントのスプレッドシート ActiveX コントロールに脆弱性

概要

Microsoft が提供する Office Web コンポーネントに含まれるスプレッドシート ActiveX コントロールに脆弱性が存在します。

Microsoft が提供する Office Web コンポーネントに含まれるスプレッドシート ActiveX コントロールには、任意のコードが実行される脆弱性が存在します。なお、本脆弱性に対する攻撃活動が確認されています。

MSRC Blog によると、影響を受ける ActiveX コントロールは以下の製品によってインストールされる可能性があります:

Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 3, Microsoft Office XP Web Components Service Pack 3, Microsoft Office Web Components 2003 Service Pack 3, Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1, Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3, Microsoft Internet Security and Acceleration Server 2006, Internet Security and Acceleration Server 2006 Supportability Update, Microsoft Internet Security and Acceleration Server 2006 Service Pack 1, Microsoft Office Small Business Accounting 2006.

詳しくはベンダが提供する情報をご確認ください。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


マイクロソフト
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Office 2007 用 Microsoft Office 2003 Web Components
  • Microsoft Office 2003 
  • Microsoft Office 2003 (small_business_accounting_2006) 
  • Microsoft Office xp 
  • Microsoft Office 2003 Web Components
  • Microsoft Office xp Web Components

想定される影響

遠隔の第三者によって、ユーザの権限でコードを実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

マイクロソフト 富士通
  • 富士通 セキュリティ情報 : TA09-223A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. コード・インジェクション(CWE-94) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2009-1136
参考情報

  1. JVN : JVNVU#545228
  2. JVN : JVNTA09-223A
  3. JVN Status Tracking Notes : JVNTR-2009-21
  4. National Vulnerability Database (NVD) : CVE-2009-1136
  5. JPCERT 緊急報告 : JPCERT-AT-2009-0017
  6. US-CERT Cyber Security Alerts : SA09-223A
  7. US-CERT Vulnerability Note : VU#545228
  8. US-CERT Technical Cyber Security Alert : TA09-223A
  9. IPA 緊急対策情報 : 20090812-ms09-043
  10. Secunia Advisory : SA35800
  11. SecurityFocus : 35642
  12. VUPEN Security : VUPEN/ADV-2009-1867
更新履歴

  • [2009年08月18日]
      掲載

公表日2009/07/17
登録日2009/08/18
最終更新日2009/08/18