Microsoft Office...........

Microsoft Office等の脆弱性について(MS12-027)(CVE-2012-0158)

第12-07-243号

最終更新日：2012年4月11日
概要

日本マイクロソフト社の Microsoft Office 等にリモートからコード(命令)が実行される脆弱性が存在します。(2664258)(MS12-027)

MSCOMCTL.OCX の RCE の脆弱性 - CVE-2012-0158

この脆弱性は、Microsoft Office 等で利用する Windows コモンコントロール の ActiveX の処理に存在します。攻撃者は、細工したウェブサイトを作成し利用者を誘導します。利用者がそのウェブサイトを閲覧した場合、コンピュータを攻撃者により制御される恐れがあります。

この脆弱性を悪用した攻撃が確認されたとの情報があるため、MS12-027 を至急適用してください。
対象

次の Windows 製品が対象です。

    Microsoft Office 2003 SP3
    Microsoft Office 2003 Web コンポーネント SP3
    Microsoft Office 2007 SP2
    Microsoft Office 2007 SP3
    Microsoft Office 2010 (32ビット版)
    Microsoft Office 2010 SP1 (32ビット版)
    Microsoft SQL Server 2000 Analysis Services SP4
    Microsoft SQL Server 2000 SP4
    Microsoft SQL Server 2005 Express Edition with Advanced Services SP4
    Microsoft SQL Server 2005 for 32-bit Systems SP4
    Microsoft SQL Server 2005 for Itanium-based Systems SP4
    Microsoft SQL Server 2005 for x64-based Systems SP4
    Microsoft SQL Server 2008 for 32-bit Systems SP2
    Microsoft SQL Server 2008 for 32-bit Systems SP3
    Microsoft SQL Server 2008 for x64-based Systems SP2
    Microsoft SQL Server 2008 for x64-based Systems SP3
    Microsoft SQL Server 2008 for Itanium-based Systems SP2
    Microsoft SQL Server 2008 for Itanium-based Systems SP3
    Microsoft SQL Server 2008 R2 for 32-bit Systems
    Microsoft SQL Server 2008 R2 for x64-based Systems
    Microsoft SQL Server 2008 R2 for Itanium-based Systems
    Microsoft BizTalk Server 2002 SP1
    Microsoft Commerce Server 2002 SP4
    Microsoft Commerce Server 2007 SP2
    Microsoft Commerce Server 2009
    Microsoft Commerce Server 2009 R2
    Microsoft Visual FoxPro 8.0 SP1
    Microsoft Visual FoxPro 9.0 SP2
    Visual Basic 6.0 ランタイム


　　　　　　　　（どんだけあんだよ）

対策
１．脆弱性の解消 - 修正プログラムの適用 -

　日本マイクロソフト社から提供されている修正プログラムを適用して下さい。修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

    Microsoft Update による一括修正方法
    Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
    http://windowsupdate.microsoft.com/

    Microsoft Update の利用方法については以下のサイトを参照してください。
    http://www.microsoft.com/ja-jp/security/pc-security/j_musteps.aspx

    なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。

    個別の修正プログラムをダウンロードしてインストールする方法下記の日本マイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
    http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027

２．回避策 -

　日本マイクロソフト社から提供される情報を参照して下さい。　

    日本マイクロソフト社からの情報(MS12-027)
    http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027

参考情報

    US-CERT
    http://www.us-cert.gov/cas/techalerts/TA12-101A.html
    SecurityFocus
    http://www.securityfocus.com/bid/52911
    Secunia
    http://secunia.com/advisories/48786
    CVE
    CVE-2012-0158