[HotFix Report 2008/03/13］ MS08-017

このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」をご参照ください。

　
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert：2008/03/13版

【登録日】2008/03/13

【更新日】2008/03/13

HFR BBS会議室

MS08-017

深刻度

→	1（緊急）
	2（重要）
	3（警告）
	4（注意）

攻撃コードの有無

なし

対策

至急適用

再起動の必要性

不要（必要な場合あり）

アンインストール

可能（Office 2000は不可）

対象環境

○	サーバ
○	クライアント

セキュリティ情報

MS08-017（日本）
MS08-017（US）

サポート技術情報

933103
931660
932031
933367
933369
939714
941305
948257

含まれる過去の修正

なし

脆弱性識別番号

CVE-2006-4695
CVE-2007-1201

MS08-017／933103

Office Webコンポーネントのメモリ破損の脆弱性により、リモートで任意のコードが実行される危険性

（Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される）

対応の緊急性：至急適用［攻撃コード未公開］［攻撃事例なし］

危険性

低								●			高
←	SP待ち				早期適用				緊急適用		→

脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃

攻撃手法				脆弱性の影響
リモート攻撃	ウイルス／ワーム	電子メール添付	Webサイトへの誘導	コードの実行	権限の昇格	情報の漏えい	サービス拒否	なりすまし
			○	○

‥‥‥ 概要 ‥‥‥

　Office Webコンポーネントがメモリ・リソースを管理する方法にメモリ破損の脆弱性が存在する。細工されたWebページをInternet Explorer（IE）で開くと、任意のコードが実行される危険性がある。

　攻撃としては、細工したWebページをユーザーに開かせるように誘導する方法が考えられる。Webページを開くとユーザーの操作なしに、任意のコードが実行されてしまう。トロイの木馬やアドウェアのインストールなどに悪用されることが懸念される。

　マイクロソフトによれば、MS08-017の脆弱性は非公開で報告されたとしており、現時点では実証コードや攻撃例は確認されていないという。ただし脆弱性の内容が公開されたことから、実証コードが開発され、攻撃に悪用される懸念がある。至急、修正プログラムを適用した方がよい。

　
脆弱性の内容

　MS08-017の修正プログラムは、以下の2件の脆弱性を解消する。なおOffice Webコンポーネントは、Webページ上で公開されたスプレッドシートやグラフ、データベースを表示するためのCOMコントロールの集合体である。このCOMコンポーネントを利用することで、Webページ上のスプレッドシートなどがIEなどのWebブラウザで表示可能になる。

■URLの解析の脆弱性（深刻度：緊急 CVE：CVE-2006-4695）
　Office Webコンポーネントが、URLを解析する際のメモリ・リソースを管理する方法にメモリ破損の脆弱性が存在する。Office Webコンポーネントによって細工されたURLが処理されると、任意のコードが実行されてしまう。

■データソースの脆弱性（深刻度：緊急 CVE：CVE-2007-1201）
　Office Webコンポーネントが、実行コマンドを解析する際のメモリ・リソースを管理する方法にメモリ破損の脆弱性が存在する。Office Webコンポーネントによって細工された実行コマンドが処理されると、任意のコードが実行されてしまう。

　
対象プラットフォーム

影響を受けるソフトウェア	対象プラットフォーム
Office 2000	Office 2000 SP3
Office 2002	Office XP SP3
Visual Studio .NET 2002	Visual Studio .NET 2002 SP1
Visual Studio .NET 2003	Visual Studio .NET 2003 SP1
BizTalk Server 2000	BizTalk Server 2000
BizTalk Server 2002	BizTalk Server 2002
Commerce Server 2000	Commerce Server 2000
ISA Server 2000	ISA Server 2000 SP2

‥‥‥ DA Lab：HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム	適用テスト結果
Windows 2000 Professional SP4＋Office XP Personal SP3	○
Windows 2000 Server SP4＋Office 2000 Standard SP3	○
Windows XP Professional SP2＋Office XP Standard SP3	○
Windows Server 2003, Standard Edition SP1＋Office 2000 Premium SP3	○
Windows Server 2003 R2, Enterprise Edition＋Office XP Professional with FrontPage SP3	○
○は問題なし、△は一部に問題あり、×は適用による障害あり

■MBSA 2.0.1の結果
　MS08-017のOffice XP向け修正プログラムが正しく適用されているかどうかは、MBSA 2.0.1で確認可能だ。未適用の場合は、「Officeのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。それ以外のOffice Webコンポーネント 2000は、MSBA 2.0.1でサポートされておらず、適用状態の確認はできない。

Office XP Web Components セキュリティ更新プログラム: KB932031

　
適用時の注意点

■Office Webコンポーネント 2000はサーバ製品にも含まれている
　脆弱性が存在するOffice Webコンポーネント 2000は、Office 2000／XPのほか、Visual Studio .NET 2002／2003、BizTalk Server 2000／2002、Commerce Server 2000、Internet Security and Acceleration Server（ISA） 2000にも含まれている。これらの製品を利用している場合も、MS08-017の修正プログラムの適用が必要になるので注意が必要だ。

■Office 2000向けはOffice Updateで提供
　MS08-017のOffice 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft UpdateはOffice 2000に対応していないため、MS08-017のOffice 2000向けの修正プログラムは表示されないので注意が必要だ（自動更新でも適用されない）。ダウンロード・センターで修正プログラムを入手して手動で適用を行うか、Office Updateを実行する必要がある。

　なおOffice XP／2003、Excel Viewer 2003 SP未適用／SP3向けの修正プログラムは、Microsoft Updateで提供されるため、ほかのセキュリティ修正プログラムとともに選択・適用が可能だ。

■Office 2000 Personalにはデフォルトで適用不可
　Office 2000 Personalには、もともとOffice Webコンポーネントが含まれておらず、インストールもされない。従って、後述するようにOffice Webコンポーネントを別途インストールしていない限り、MS08-017のOffice 2000向け修正プログラムを適用する必要はない。実際、Office 2000 Personal SP3に対して、この修正プログラムを手動で実行しても「このシステムには、必要とされているバージョンの製品がありません。」というエラーが発生して適用できない。DA Labで確認した限り、Office 2000 Personal SP3対しては、Office UpdateでもMS08-017の修正プログラムは検出されなかった。

　ただしOffice 2000 Personal SP3であっても、MSOWC.DLLというファイルが存在する場合はOffice Webコンポーネントが後から別途インストールされた可能性がある。その場合はこの修正プログラムの適用を検討すべきだ。

■ActiveXコントロールにkillbitを設定
　MS08-017の修正プログラムでは、以下のCLSIDに対してkillbitを設定し、ActiveXコントロールの脆弱性を攻撃に悪用されるのを防いでいる。

ファイル	クラス識別子
MSOWC.DLL	0002E510-0000-0000-C000-000000000046
	0002E511-0000-0000-C000-000000000046
	0002E533-0000-0000-C000-000000000046
	0002E530-0000-0000-C000-000000000046

■修正プログラムのアンインストールに必要な条件
　Office XP向けの修正プログラムは、以下の条件を満たせばアンインストール可能である。Office 2000向けの修正プログラムはアンインストールできない。

OSがWindows XP SP2またはWindows Server 2003 SP1／R2／SP2
Windows Installer 3.0以降をインストールした後で修正プログラムを適用
OfficeのインストールCDにアクセス可能

‥‥‥ 修正プログラムのダウンロード先 ‥‥‥

プラットフォーム	ダウンロード・センター	Office Update／MU／WSUS／ダウロードセンターの表示
Office 2000 SP3	→ MSへ	Office 2000 Web Components セキュリティ更新プログラム: KB931660
Office XP SP3	→ MSへ	Office XP Web Components セキュリティ更新プログラム: KB932031
Visual Studio .NET 2002 SP1	→ MSへ	Visual Studio .NET 2002 Service Pack 1 MSOWC.DLL セキュリティ更新プログラム
Visual Studio .NET 2003 SP1	→ MSへ	Visual Studio .NET 2003 Service Pack 1 MSOWC.DLL セキュリティ更新プログラム
BizTalk Server 2000	→ MSへ	Biztalk 2000 - 2002 Security Update
BizTalk Server 2002	→ MSへ	Biztalk 2000 - 2002 Security Update
Commerce Server 2000	→ MSへ	Commerce Sever 2000 セキュリティ更新プログラム: KB941305
ISA Server 2000 SP2	→ MSへ	ISA Server 2000 レポート機能で使用される Microsoft Office Web コンポーネント 2000 用セキュリティ更新プログラム

‥‥‥ 適用されるファイル情報 ‥‥‥

　以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。Visual Studio .NET 2002 SP1／2003 SP1、BizTalk Server 2000／2002、Commerce Server 2000、ISA Server 2000 SP2の各製品のファイル情報については、サポート対象外のため割愛させていただく。
　
Office 2000 SP3：

ファイル名	日付	バージョン	サイズ
office2000-KB931660-FullFile-JPN.exe	2008/01/18	9.0.11367.0	2,680,392

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ	%ProgramFiles%\Microsoft Office\Office\ （デフォルトの設定）
MSOWC.DLL	2007/12/03	9.0.0.8966	3,048,496	Microsoft Office 2000 Web Components

　
Office XP SP3：

ファイル名	日付	バージョン	サイズ
officexp-KB932031-FullFile-JPN.exe	2008/01/25	10.0.6841.0	10,038,336

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ	%ProgramFiles%\Common Files\Microsoft Shared\Web Components\10\
OWC10.DLL	2008/01/24	10.0.6829.0	7,255,384	Microsoft Office XP Web Components
	%ProgramFiles%\Common Files\Microsoft Shared\Office10\
MSOWC.DLL	2008/01/24	9.0.0.8966	3,048,496	Microsoft Office 2000 Web Components

‥‥‥ 確認方法 ‥‥‥

　修正プログラムが正しく適用できたかどうかは、MSOWC.DLLのファイルのバージョンをプロパティで調べることで確認できる。

　
予想適用時間

修正プログラム名	50台	100台	250台	500台
office2000-KB931660-FullFile-JPN.exe （Office 2000 SP3）	13分	21分	47分	1時間31分
officexp-KB932031-FullFile-JPN.exe （Office XP SP3）	14分	23分	52分	1時間41分

1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。

　
UpdateEXPERT上の表示

・Office 2000 SP3：
［展開ビュー］－［Office］タブに「名前：office2000-KB931660-FullFile-JPN.exe」で登録

・Office XP SP3：
［展開ビュー］－［Office］タブに「名前：officexp-KB932031-FullFile-JPN.exe」で登録

・Visual Studio .NET 2002 SP1：
UpdateEXPERTのサポート対象外

・Visual Studio .NET 2003 SP1：
UpdateEXPERTのサポート対象外

・BizTalk Server 2000：
UpdateEXPERTのサポート対象外

・BizTalk Server 2002：
UpdateEXPERTのサポート対象外

・Commerce Server 2000：
UpdateEXPERTのサポート対象外

・ISA Server 2000 SP2：
UpdateEXPERTのサポート対象外

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。

Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先：info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。