JVNDB-2012-002694

JVNDB-2012-002694
Microsoft XML コアサービスにおける任意のコードを実行される脆弱性
概要
Microsoft XML コアサービスには、初期化されていないメモリへのアクセスにより、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態となる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 8.8 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

マイクロソフト Microsoft Expression Web SP1 Microsoft Expression Web 2 Microsoft Groove Server 2007 SP2 Microsoft Groove Server 2007 SP3 Microsoft Office 2003 SP3 Microsoft Office 2007 SP2 Microsoft Office 2007 SP3 Microsoft Office SharePoint Server 2007 SP2 および SP3 (32 ビット版) Microsoft Office SharePoint Server 2007 SP2 および SP3 (64 ビット版) Microsoft Office Word Viewer Microsoft Office 互換機能パック SP2 Microsoft Office 互換機能パック SP3 Microsoft XML コアサービス 3.0 Microsoft XML コアサービス 4.0 Microsoft XML コアサービス 5.0 Microsoft XML コアサービス 6.0 Microsoft Windows 7 (x32) SP1 以前 Microsoft Windows 7 (x64) SP1 以前 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for 64-bit Systems Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 (x64) SP2 Microsoft Windows Server 2003 (itanium) SP2 Microsoft Windows Server 2008 (x86) SP2 Microsoft Windows Server 2008 (x64) SP2 Microsoft Windows Server 2008 (itanium) SP2 Microsoft Windows Server 2008 r2(x64) SP1 以前 Microsoft Windows Server 2008 r2(itanium) SP1 以前 Microsoft Windows Server 2012 for 64-bit Systems Microsoft Windows Vista SP2 Microsoft Windows Vista (x64) SP2 Microsoft Windows XP sp3 SP3 Microsoft Windows XP (x64) SP2
上記の Microsoft Windows で利用される Microsoft XML コアサービス 3.0、4.0、6.0、および他の Microsoft 製品で利用される Microsoft XML コアサービス 5.0 が影響を受けます。詳しくは、マイクロソフトが提供する MS12-043 をご確認ください。
想定される影響
第三者により、巧妙に細工された Web サイトを介して、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
マイクロソフト Microsoft Knowledge Base (日本語版) : 2719615 Microsoft Security Advisory : Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (2719615) Microsoft Security Bulletin : MS12-043 マイクロソフトセキュリティアドバイザリ : XML コアサービスの脆弱性により、リモートでコードが実行される (2719615) マイクロソフトセキュリティ情報 : MS12-043 富士通富士通セキュリティ情報 : TA12-174A 富士通セキュリティ情報 : TA12-192A
CWEによる脆弱性タイプ一覧 CWEとは?
境界外書き込み(CWE-787) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-1889
参考情報
JVN : JVNTA12-174A JVN : JVNTA12-192A National Vulnerability Database (NVD) : CVE-2012-1889 JPCERT 緊急報告 : JPCERT-AT-2012-0020 JPCERT 緊急報告 : JPCERT-AT-2012-0022 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS12-043,044,045,046,047,048,049,050,051)(2012年07月11日) US-CERT Technical Cyber Security Alert : TA12-174A US-CERT Technical Cyber Security Alert : TA12-192A CISA Known Exploited Vulnerabilities Catalog : CVE-2012-1889 IPA 緊急対策情報 : Microsoft Windows 等の脆弱性の修正について (MS12-043)(CVE-2012-1889)
更新履歴
[2012年06月14日] 掲載 [2012年06月18日] ベンダ情報：マイクロソフトサポート技術情報 2719615 を追加 [2012年07月06日] ベンダ情報：富士通 (TA12-174A) を追加 [2012年07月12日] 影響を受けるシステム：マイクロソフト (MS12-043) の情報を追加ベンダ情報：マイクロソフト (MS12-043) を追加 [2012年12月19日] 影響を受けるシステム：マイクロソフト (MS12-047) の情報を更新 [2024年07月05日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新参考情報：CISA Known Exploited Vulnerabilities Catalog (CVE-2012-1889) を追加


公表日	2012/06/12
登録日	2012/06/14
最終更新日	2024/07/05

Microsoft XML コアサービスにおける任意のコードを実行される脆弱性