Silverlight をインストールするには、ここをクリックします*
Japan変更|すべてのMicrosoft のサイト
Microsoft TechNet
サイトの検索
TechNet セキュリティ > マイクロソフト セキュリティ アドバイザリ

マイクロソフト セキュリティ アドバイザリ (973472)

Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される

公開日: 2009年7月13日 | 最終更新日: 2009年7月13日
要訳

お知らせ内容

脆弱性の公開

更新プログラム

開発中

被害報告

あり

回避策

あり

対応方法

セキュリティ更新プログラムの提供を予定しています。
本アドバイザリの更新をメールで受け取る。

マイクロソフトは現在、Microsoft Office Web コンポーネントに存在する責任ある開示方法で報告された脆弱性を調査中です。攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じユーザー権限を取得する可能性があります。Internet Explorer を使用している場合、リモートでコードが実行され、ユーザーの操作を必要としない可能性があります。

マイクロソフトはこの脆弱性を悪用しようとする攻撃を確認しています。

「回避策」のセクションで説明している手順を手動で実行するか、またはサポート技術情報 973472 に記載されている解決策を自動で使用することにより、Microsoft Office Web コンポーネントが Internet Explorer で実行されないようにすることができます。

マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) (英語情報) で積極的にパートナーと協力しています。

マイクロソフトは現在、この脆弱性を解決するための「概要」の欄に記載されている影響を受けるすべての製品用のセキュリティ更新プログラムを開発中で、この更新プログラムが広範囲に配布するにあたり十分なレベルの品質に到達し次第、公開する予定です。

問題を緩和する要素:

既定で、Windows Server 2003 および Windows Server 2008 上の Internet Explorer は、「セキュリティ強化の構成」と呼ばれる制限されたモードで実行されます。セキュリティ強化の構成は、Internet Explorer で事前に設定され、ユーザーまたは管理者が特別に細工された Web コンテンツをサーバーにダウンロードし、実行する危険性を低減します。これは、Internet Explorer の信頼済みサイト ゾーンに追加していない Web サイトに対する「緩和する要素」です。Internet Explorer セキュリティ強化の構成も合わせてご覧ください。

既定で、すべてのサポートされているバージョンの Microsoft Outlook および Microsoft Outlook Express は、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンは、HTML 形式の電子メール メッセージの読み取りの際に、Active スクリプトおよび ActiveX コントロールが使用されないようにすることにより、この脆弱性を悪用しようとする攻撃の緩和に役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃シナリオで悪用した脆弱性の影響を受ける可能性があります

Web ベースの攻撃のシナリオでは、攻撃者がこの脆弱性の悪用を意図した Web ページが含まれている Web サイトをホストする可能性があります。さらに、侵害された Web サイトおよびユーザーが提供したコンテンツまたは広告を受け入れる、またはホストしている Web サイトに特別に細工されたコンテンツが含まれ、この脆弱性を悪用する可能性があります。しかし、すべての場合において、これらの Web サイトに強制的にユーザーを訪問させることはできません。通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。

攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じ権限を取得する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。

概説

概要

アドバイザリの目的: この脆弱性をお客様にお知らせし、お客様を守るために役立つ情報を提供することです。

アドバイザリの状況: 問題を確認しており、セキュリティ更新プログラムの提供を予定しています。

推奨する対応策: 必要に応じて、推奨するアクションを検討し、構成してください。

参照情報番号

CVE リファレンス

CVE-2009-1136

マイクロソフト サポート技術情報

973472

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア

Microsoft Office XP Service Pack 3

Microsoft Office 2003 Service Pack 3

Microsoft Office XP Web コンポーネント Service Pack 3

Microsoft Office 2003 Web コンポーネント Service Pack 3

2007 Microsoft Office system Service Pack 1 用の Microsoft Office 2003 Web コンポーネント

Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3

Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3

Microsoft Internet Security and Acceleration Server 2006

Internet Security and Acceleration Server 2006 Supportability Update

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1

Microsoft Office Small Business Accounting 2006

影響を受けないソフトウェア

Microsoft Office 2000 Service Pack 3

2007 Microsoft Office Suite Service Pack 1 および 2007 Microsoft Office Suite Service Pack 2

Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック Service Pack 1 および Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック Service Pack 2

Microsoft Forefront Threat Management Gateway、Medium Business Edition

Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

Top of sectionTop of section

よく寄せられる質問

このアドバイザリの目的は何ですか?
マイクロソフトは Microsoft Office Web コンポーネントに影響を及ぼす新たな脆弱性の報告について確認しました。これは「概要」の欄に記載されているオペレーティング システムに影響を及ぼします。

これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか?
マイクロソフトは、この脆弱性に対処するためのセキュリティ更新プログラムの開発を進めています。マイクロソフトは、開発中のセキュリティ更新プログラムが、一般に広く公開可能な適切な品質のレベルに達した後にリリースする予定です。

Office Web コンポーネントとは何ですか?
Microsoft Office Web コンポーネントとは、スプレッドシート、グラフ、データベースを Web に公開する、および Web に公開されたコンポーネントを表示するための Component Object Model (COM) コントロールの集合体です。

この脅威は何が原因で起こりますか?
ActiveX コントロールが Internet Explorer で使用されている場合、攻撃者が任意のコードを実行する方法でコンピューターの状態を破損させる可能性があります。

攻撃者は、この脆弱性を悪用して何を行う可能性がありますか?
ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。

Top of sectionTop of section

推奨するアクション

このアドバイザリに関連するマイクロソフト サポート技術情報を検討する

この問題に関する詳細については、マイクロソフト サポート技術情報 973472 で説明されています。

回避策

回避策は、設定または構成の変更を示すもので、基本的な脆弱性を正すものではありませんが、更新プログラムの適用前に、既知の攻撃方法を阻止するのに役立ちます。マイクロソフトは次の回避策をテストし、回避策が機能性を低下させるかどうか「詳細」の欄で説明しています。

Office Web コンポーネント ライブラリが Internet Explorer で実行されるのを防ぐ

注: この回避策を自動で実装する方法に関する情報は、マイクロソフト サポート技術情報 973472 をご覧ください。

コントロールの Kill Bit をレジストリで設定することにより、Internet Explorer で COM オブジェクトのインスタンス化が試行されるのを無効にできます。

警告: レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、お客様各自の責任において使用してください。

コントロールが Internet Explorer で実行されないようにするためのステップの詳細は、マイクロソフト サポート技術情報 240797 をご覧ください。このマイクロソフト サポート技術情報に記載されているステップに従い、レジストリに互換性フラグの値を作成し、Internet Explorer で COM オブジェクトのインスタンスが作成されないようにしてください。

次のクラス識別子は Microsoft Office Web コンポーネントに関連します。

クラス識別子

{0002E541-0000-0000-C000-000000000046}

{0002E559-0000-0000-C000-000000000046}

注: ActiveX オブジェクトが含まれているクラス識別子および対応するファイルを下記の表に記載します。下記の {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} をこの表のクラス識別子と置き換えてください。

{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} の値で CLSID に Kill Bit を設定するには、以下のテキストをメモ帳の様なテキストエディターに貼り付けてください。次に、.reg ファイル名拡張子を使用してファイルを保存します。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]
"Compatibility Flags"=dword:00000400

この .reg ファイルをダブルクリックすると、個々のコンピューターに適用できます。グループ ポリシーを使用し、ドメインに適用することもできます。グループ ポリシーの詳細については、次のマイクロソフトの Web サイトを参照してください。

Group Policy collection (英語情報)

What Is Group Policy Object Editor? (英語情報)

Core Group Policy Tools and Settings (英語情報)

注: 変更を有効にするには、Internet Explorer を再起動する必要があります。

回避策の影響: Internet Explorer、Office または Kill Bit をサポートするすべてのアプリケーションでオブジェクトの使用が意図されない限り、影響はありません。

Top of sectionTop of section
Top of sectionTop of section

リソース:

US マイクロソフト セキュリティ アドバイザリ (973472)
http://www.microsoft.com/technet/security/advisory/973472.mspx

フィードバックをご提供いただく際は、マイクロソフト サポート オンライン のフォームへ入力をお願いします。

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフト セキュリティ情報センター 利用可能なサポート オプションに関する詳細は マイクロソフト サポート オンライン をご覧ください。

その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Microsoft TechNet セキュリティ センター では、製品に関するセキュリティ情報を提供しています。

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴:

2009/07/13: このアドバイザリを公開しました。


 

Microsoft