スレットエクスプローラー
ツール / ダウンロード
リソース
Microsoft Office Web コンポーネントの ActiveX コントロールにメモリ割り当てでコードが実行される脆弱性
危険性
高
発見日
2009 年 8 月 11 日
解説
Microsoft Office Web コンポーネントの OWC10 ActiveX コントロールに、リモートでコードが実行される脆弱性が存在します。攻撃者は、悪質に細工された Web ページにアクセスするように標的とするユーザーを誘導することによって、この脆弱性を悪用します。攻撃者がこの脆弱性の悪用に成功すると、影響を受ける ActiveX コントロールを使用するアプリケーション (通常は Internet Explorer) 内で任意のコードを実行することが可能になります。攻撃に失敗すると、サービス拒否の状態が引き起こされる可能性があります。
影響を受ける技術
- Microsoft Internet Security and Acceleration Server 2004 Enterprise Editio SP3
- Microsoft Internet Security and Acceleration Server 2004 Standard Edition SP3
- Microsoft Internet Security and Acceleration Server 2006
- Microsoft Internet Security and Acceleration Server 2006 SP1
- Microsoft Internet Security and Acceleration Server 2006 Supportability Up
- Microsoft Office 2003
- Microsoft Office 2003 SP1
- Microsoft Office 2003 SP2
- Microsoft Office 2003 SP3
- Microsoft Office 2003 Web Components SP3
- Microsoft Office 2003 Web Components for Office 2007 SP1
- Microsoft Office Small Business Accounting 2006
- Microsoft Office XP
- Microsoft Office XP SP1
- Microsoft Office XP SP2
- Microsoft Office XP SP3
- Microsoft Office XP Web Components SP3
推奨する対策
すべてのソフトウェアを最小のアクセス権限しか持たない非特権ユーザーとして実行してください。
この脆弱性が悪用された場合の影響を緩和するため、影響を受けるアプリケーションを、最小限のアクセス権限しか持たないユーザーとして実行してください。
ネットワーク侵入検知システム (NIDS) を導入してネットワークトラフィックを常時監視させます。
ネットワーク侵入検知システム (NIDS) を導入し、ネットワークトラフィック上で不審または異常なアクティビティの兆候がないかどうかを監視します。これは、攻撃者がアプリケーションの脆弱性を悪用することに成功した後で行う可能性のある悪質な行為の検出に役立ちます。該当するログをすべて、定期的に確認してください。
未知、または信頼できないソースから提供されているリンクをたどらないようにします。
信頼できない、または未知のソースから提供されるファイルを受け取ったり、リンクをたどらないようにしてください。悪質な内容が含まれている可能性があるためです。
Web ブラウザのセキュリティ設定で、スクリプトコードやアクティブコンテンツの実行を無効にしてください。
この脆弱性の悪用に成功するには、Web クライアント上で悪質なスクリプトコードの実行が必要なため、クライアントのブラウザでスクリプトコードとアクティブコンテンツのサポートを無効にすることを検討してください。ただし、この緩和策により、ブラウザを利用したスクリプトコードの実行に依存している正当な Web サイトにマイナスの影響が及ぶことがあります。
多重的なセキュリティ強化対策を講じてください。
非実行のスタックやヒープの構成、メモリセグメントのランダムなマッピングなどのメモリ保護対策を講じることにより、メモリ破壊を引き起こす脆弱性の悪用が難しくなります。
マイクロソフト社は、この問題に対応したセキュリティ情報と修正プログラムをリリースしました。詳しくは、次の参考情報をご参照ください。
クレジット
本件の発見者は、Zero Day Initiative の Peter Vreugdenhil 氏です。
Copyright (c) 2009 Symantec Corporation.
本サイトの記載情報の電子媒体による頒布は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。本サイトに記載された情報の一部または全部を電子媒体以外の媒体へ複製または印刷する場合は、必ず事前にシマンテックの許可を得る必要があります。
免責事項
本サイトの記載情報は、公開時点で確認されていた情報を基に正確であると判断された内容で構成されています。本サイトの記載情報の使用は、現状のままとすることを条件に認められています。本サイトの記載内容について、シマンテックは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。 Symantec、Symantec Security Response、およびシマンテックの各製品名は、Symantec Corporation またはその関連会社の米国および各国における登録商標です。
その他の会社名、製品名は各社の商標または登録商標です。
