Microsoft OfficeとVisioを悩ます脆弱な3つのActiveXコントロール 2009年10月13日
Microsoft OfficeとVisioを悩ます脆弱な3つの ActiveX コントロール
危険度: 高
2009年10月13日
【概要】
【詳細】
マイクロソフトは米国時間の10月13日にリリースしたセキュリティアドバイザリで、大方のバージョンの Microsoft Office に搭載されている3つの脆弱な ActiveXコントロールについて説明した。欠陥のあるコントロールは Visio でも見られる。
過去の LiveSecurity アラート [ 1 / 2 ]では、開発者達がActiveXコントロールを作成する際に役立つプログラム・テンプレートを集めたマイクロソフトのアクティブ・テンプレート・ライブラリ(ATL)について説明した。Office や Visio など、マイクロソフト製品には ATL ライブラリで作成した ActiveXコントロールが搭載されているコンポーネントがいくつもあるが、旧バージョンの ATL は、いくつもの脆弱な ActiveXコントロールの作成に導くセキュリティ問題の影響を受けている。マイクロソフトは、このような脆弱性の影響を受けているレガシー ActiveXコントロールを見つけることに努めている。
今回報告された Office アドバイザリでは、更に3つの ATL 関連の問題が修正されている。3つの欠陥はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者は悪質なウェブサイトにユーザを誘導することでこの脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行する。また、ユーザにローカル管理者のアクセス権がある場合、攻撃者は欠陥を悪用してユーザのコンピュータを完全に操作できる。
【対策】
マイクロソフトはこうした脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること:
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザのインターネット・アクセスを可能にするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2009年10月13日
【概要】
- 対象: 最新版の Windows(Visio にも影響あり)
- 攻撃方法: 細工したウェブページにユーザを誘導
- 影響: 攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策: 状況に適したマイクロソフトのパッチをできる限り早急にインストールするか、Windows Update を使って自動的にパッチをダウンロードすること
【詳細】
マイクロソフトは米国時間の10月13日にリリースしたセキュリティアドバイザリで、大方のバージョンの Microsoft Office に搭載されている3つの脆弱な ActiveXコントロールについて説明した。欠陥のあるコントロールは Visio でも見られる。
過去の LiveSecurity アラート [ 1 / 2 ]では、開発者達がActiveXコントロールを作成する際に役立つプログラム・テンプレートを集めたマイクロソフトのアクティブ・テンプレート・ライブラリ(ATL)について説明した。Office や Visio など、マイクロソフト製品には ATL ライブラリで作成した ActiveXコントロールが搭載されているコンポーネントがいくつもあるが、旧バージョンの ATL は、いくつもの脆弱な ActiveXコントロールの作成に導くセキュリティ問題の影響を受けている。マイクロソフトは、このような脆弱性の影響を受けているレガシー ActiveXコントロールを見つけることに努めている。
今回報告された Office アドバイザリでは、更に3つの ATL 関連の問題が修正されている。3つの欠陥はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者は悪質なウェブサイトにユーザを誘導することでこの脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行する。また、ユーザにローカル管理者のアクセス権がある場合、攻撃者は欠陥を悪用してユーザのコンピュータを完全に操作できる。
【対策】
マイクロソフトはこうした脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること:
- Office XP
- Microsoft Outlook 2002
- Office 2003
- Microsoft Office Outlook 2003
- 2007 Microsoft Office System
- Microsoft Office Outlook 2007
- その他のマイクロソフト・ソフトウェア
- Microsoft Office Visio Viewer 2007
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザのインターネット・アクセスを可能にするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
- マイクロソフトのセキュリティアドバイザリ:MS09-060
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。