アップデート:Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性 2009年8月11日
アップデート:Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性
OWC欠陥によるISA とBiztalk サーバへの影響
危険度:高
2009年8月11日
【アップデート】
米国時間の7月13日にLiveSecurityはセキュリティ・アラートで、大方のバージョンのマイクロソフトOfficeに搭載されているウェブ・コンポーネントのActiveXコントロールに見られるゼロデイ脆弱性について読者に注意を呼び掛けた。その際、マイクロソフトが問題に対応するパッチをリリース次第、アップデートで知らせると報告したが、そのパッチが今日リリースされた。
マイクロソフトは今日リリースしたセキュリティ・アドバイザリで、オフィス・ウェブ・コンポーネント(OWC)のActiveX コントロール脆弱性4つに関する詳細を報告している。また、次の製品もOWCの脆弱性の影響を受けている:
攻撃者達は、7月13日以来この脆弱性を一般において実際に悪用しているため、この欠陥は多くのMicrosoft Office ユーザ達にとって深刻な脅威である。状況に適したパッチを至急ダウンロードし、テストしてから取り入れることをすすめる。
【対策】
マイクロソフトは脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択すること:
この脆弱性の詳細については、7月13日付けのセキュリティ・アラートを参照することをすすめる。
同記事は下記、またはこちらから閲覧可能。
====================================
Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性
危険度: 高
2009年7月13日
【概要】
対象:
ほぼ全てのMicrosoft Office バージョン (Biztalk /ISA Serverも対象)
攻撃方法:
細工したウェブページにユーザを誘導する
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している回避策を講じること
【詳細】
米国時間の7月13日にリリースしたセキュリティ・アドバイザリで、 マイクロソフトは深刻なActiveX コントロールの脆弱性について警告した。ActiveX コントロールは、ほぼ全てのバージョンのMicrosoft Officeに搭載されているほか、この脆弱性に対応するパッチは用意されていない。ActiveX コントロールはMicrosoft Biztalkや ISA Server、Office Accounting 、Business Contact Manager などでも使われている。
マイクロソフトは攻撃者がこの脆弱性を実際に悪用しているのを一般の状況下で見て知ったため、この欠陥は Office Web Components (OWC) に搭載されているSpreadsheet ActiveX コントロールに関与していると警告しているが、その他の詳細については説明していない。
OWC は Office の現バージョン全てに搭載されているが、このコンポーネントはOffice 2007 においてはデフォルトでインストールされていない。この欠陥はActiveX コントロールに影響しているため、攻撃者はインターネット・エクスプローラ(IE)経由で悪用することができる。攻撃者は悪質なウェブサイトにユーザを誘 導することでこの脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行する。また、ユーザにローカル管理者のアクセス権 がある場合、攻撃者は欠陥を悪用してユーザのコンピュータを完全に操作できるようにもなる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥は大方のMicrosoft Office ユーザ達にとって深刻な脅威である。このため、パッチが用意されるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和することをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、IE の脆弱な OWC ActiveX コントロール無効にする "Fix it" という回避策はリリースしている。IE で Office スプレッドシートを処理できなくても構わないというのであれば、マイクロソフトがパッチをリリースするまで、この"Fix it"回避策を講じることをすすめる。
マイクロソフトが修正パッチを公開次第、連絡する。
ウォッチガード・ユーザ:
マイクロソフトによる "Fix it" を利用することが主な対策となる。しかし、ウォッチガードの GAV/IPS サービスには脆弱なActiveX コントロールを呼び出すウェブサイトを検知し、それをブロックするシグネチャが備えられているので、GAV/IPS サービスを取り入れている Firebox を管理している場合は、それを使ってこのゼロデイ悪用のリスクを緩和させることもできる。
【ステータス】
マイクロソフトは修正パッチをリリースする予定。それまでは先に説明した対策を実施することをすすめる。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
OWC欠陥によるISA とBiztalk サーバへの影響
危険度:高
2009年8月11日
【アップデート】
米国時間の7月13日にLiveSecurityはセキュリティ・アラートで、大方のバージョンのマイクロソフトOfficeに搭載されているウェブ・コンポーネントのActiveXコントロールに見られるゼロデイ脆弱性について読者に注意を呼び掛けた。その際、マイクロソフトが問題に対応するパッチをリリース次第、アップデートで知らせると報告したが、そのパッチが今日リリースされた。
マイクロソフトは今日リリースしたセキュリティ・アドバイザリで、オフィス・ウェブ・コンポーネント(OWC)のActiveX コントロール脆弱性4つに関する詳細を報告している。また、次の製品もOWCの脆弱性の影響を受けている:
- Microsoft Internet Security and Acceleration (ISA) Server
- Microsoft Biztalk Server
- Microsoft Visual Studio .NET
- Microsoft Office Small Business Accounting
攻撃者達は、7月13日以来この脆弱性を一般において実際に悪用しているため、この欠陥は多くのMicrosoft Office ユーザ達にとって深刻な脅威である。状況に適したパッチを至急ダウンロードし、テストしてから取り入れることをすすめる。
【対策】
マイクロソフトは脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択すること:
- マイクロソフトOffice
- Microsoft Office XP Service Pack 3 (KB947320)
- Microsoft Office 2003 Service Pack 3 (KB947319)
- マイクロソフトOfficeウェブ・コンポーネント
- Microsoft Office 2000 Web Components Service Pack 3 (KB947320)
- Microsoft Office XP Web Components Service Pack 3 (KB947320)
- Microsoft Office 2003 Web Components Service Pack 3 (KB947319)
- Microsoft Office 2003 Web Components Service Pack 1 for the 2007 Microsoft Office System** (KB947318)
- マイクロソフトISAサーバ
- Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3* (KB947826)
- Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 (KB947826)
- Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1 (KB947826)
- Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1 (KB947826)
- その他のマイクロソフト・ソフトウェア
- Microsoft BizTalk Server 2002 (KB971388)
- Microsoft Visual Studio .NET 2003 Service Pack 1 (KB969172)
- Microsoft Office Small Business Accounting 2006 (KB968377)
この脆弱性の詳細については、7月13日付けのセキュリティ・アラートを参照することをすすめる。
同記事は下記、またはこちらから閲覧可能。
====================================
Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性
危険度: 高
2009年7月13日
【概要】
対象:
ほぼ全てのMicrosoft Office バージョン (Biztalk /ISA Serverも対象)
攻撃方法:
細工したウェブページにユーザを誘導する
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している回避策を講じること
【詳細】
米国時間の7月13日にリリースしたセキュリティ・アドバイザリで、 マイクロソフトは深刻なActiveX コントロールの脆弱性について警告した。ActiveX コントロールは、ほぼ全てのバージョンのMicrosoft Officeに搭載されているほか、この脆弱性に対応するパッチは用意されていない。ActiveX コントロールはMicrosoft Biztalkや ISA Server、Office Accounting 、Business Contact Manager などでも使われている。
マイクロソフトは攻撃者がこの脆弱性を実際に悪用しているのを一般の状況下で見て知ったため、この欠陥は Office Web Components (OWC) に搭載されているSpreadsheet ActiveX コントロールに関与していると警告しているが、その他の詳細については説明していない。
OWC は Office の現バージョン全てに搭載されているが、このコンポーネントはOffice 2007 においてはデフォルトでインストールされていない。この欠陥はActiveX コントロールに影響しているため、攻撃者はインターネット・エクスプローラ(IE)経由で悪用することができる。攻撃者は悪質なウェブサイトにユーザを誘 導することでこの脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行する。また、ユーザにローカル管理者のアクセス権 がある場合、攻撃者は欠陥を悪用してユーザのコンピュータを完全に操作できるようにもなる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥は大方のMicrosoft Office ユーザ達にとって深刻な脅威である。このため、パッチが用意されるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和することをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、IE の脆弱な OWC ActiveX コントロール無効にする "Fix it" という回避策はリリースしている。IE で Office スプレッドシートを処理できなくても構わないというのであれば、マイクロソフトがパッチをリリースするまで、この"Fix it"回避策を講じることをすすめる。
マイクロソフトが修正パッチを公開次第、連絡する。
ウォッチガード・ユーザ:
マイクロソフトによる "Fix it" を利用することが主な対策となる。しかし、ウォッチガードの GAV/IPS サービスには脆弱なActiveX コントロールを呼び出すウェブサイトを検知し、それをブロックするシグネチャが備えられているので、GAV/IPS サービスを取り入れている Firebox を管理している場合は、それを使ってこのゼロデイ悪用のリスクを緩和させることもできる。
【ステータス】
マイクロソフトは修正パッチをリリースする予定。それまでは先に説明した対策を実施することをすすめる。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。