MS08-017/933103 |
Office Webコンポーネントのメモリ破損の脆弱性により、リモートで任意のコードが実行される危険性 |
(Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される) |
対応の緊急性:至急適用 [攻撃コード未公開][攻撃事例なし]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法 |
脆弱性の影響 |
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
|
|
|
○ |
○ |
|
|
|
|
|
|
|
|
Office Webコンポーネントがメモリ・リソースを管理する方法にメモリ破損の脆弱性が存在する。細工されたWebページをInternet
Explorer(IE)で開くと、任意のコードが実行される危険性がある。
攻撃としては、細工したWebページをユーザーに開かせるように誘導する方法が考えられる。Webページを開くとユーザーの操作なしに、任意のコードが実行されてしまう。トロイの木馬やアドウェアのインストールなどに悪用されることが懸念される。
マイクロソフトによれば、MS08-017の脆弱性は非公開で報告されたとしており、現時点では実証コードや攻撃例は確認されていないという。ただし脆弱性の内容が公開されたことから、実証コードが開発され、攻撃に悪用される懸念がある。至急、修正プログラムを適用した方がよい。 |
脆弱性の内容
|
MS08-017の修正プログラムは、以下の2件の脆弱性を解消する。なおOffice Webコンポーネントは、Webページ上で公開されたスプレッドシートやグラフ、データベースを表示するためのCOMコントロールの集合体である。このCOMコンポーネントを利用することで、Webページ上のスプレッドシートなどがIEなどのWebブラウザで表示可能になる。
■URLの解析の脆弱性(深刻度:緊急 CVE:CVE-2006-4695)
Office Webコンポーネントが、URLを解析する際のメモリ・リソースを管理する方法にメモリ破損の脆弱性が存在する。Office Webコンポーネントによって細工されたURLが処理されると、任意のコードが実行されてしまう。
■データソースの脆弱性(深刻度:緊急 CVE:CVE-2007-1201)
Office Webコンポーネントが、実行コマンドを解析する際のメモリ・リソースを管理する方法にメモリ破損の脆弱性が存在する。Office Webコンポーネントによって細工された実行コマンドが処理されると、任意のコードが実行されてしまう。 |
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Office 2000 |
Office 2000 SP3 |
Office 2002 |
Office XP SP3 |
Visual Studio .NET 2002 |
Visual Studio .NET 2002 SP1 |
Visual Studio .NET 2003 |
Visual Studio .NET 2003 SP1 |
BizTalk Server 2000 |
BizTalk Server 2000 |
BizTalk Server 2002 |
BizTalk Server 2002 |
Commerce Server 2000 |
Commerce Server 2000 |
ISA Server 2000 |
ISA Server 2000 SP2 |
|
|
‥‥‥
DA Lab:HotFixテスティング・チームからのコメント ‥‥‥ |
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム |
適用テスト結果 |
Windows 2000 Professional SP4+Office XP Personal SP3 |
○ |
Windows 2000 Server SP4+Office 2000 Standard SP3 |
○ |
Windows XP Professional SP2+Office XP Standard SP3 |
○ |
Windows Server 2003, Standard Edition SP1+Office 2000 Premium SP3 |
○ |
Windows Server 2003 R2, Enterprise Edition+Office XP Professional with FrontPage
SP3 |
○ |
○は問題なし、△は一部に問題あり、×は適用による障害あり |
■MBSA 2.0.1の結果
MS08-017のOffice XP向け修正プログラムが正しく適用されているかどうかは、MBSA 2.0.1で確認可能だ。未適用の場合は、「Officeのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。それ以外のOffice
Webコンポーネント 2000は、MSBA 2.0.1でサポートされておらず、適用状態の確認はできない。
- Office XP Web Components セキュリティ更新プログラム: KB932031
|
適用時の注意点
|
■Office Webコンポーネント 2000はサーバ製品にも含まれている
脆弱性が存在するOffice Webコンポーネント 2000は、Office 2000/XPのほか、Visual Studio .NET 2002/2003、BizTalk
Server 2000/2002、Commerce Server 2000、Internet Security and Acceleration Server(ISA)
2000にも含まれている。これらの製品を利用している場合も、MS08-017の修正プログラムの適用が必要になるので注意が必要だ。
■Office 2000向けはOffice Updateで提供
MS08-017のOffice 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft
UpdateはOffice 2000に対応していないため、MS08-017のOffice 2000向けの修正プログラムは表示されないので注意が必要だ(自動更新でも適用されない)。ダウンロード・センターで修正プログラムを入手して手動で適用を行うか、Office
Updateを実行する必要がある。
なおOffice XP/2003、Excel Viewer 2003 SP未適用/SP3向けの修正プログラムは、Microsoft Updateで提供されるため、ほかのセキュリティ修正プログラムとともに選択・適用が可能だ。
■Office 2000 Personalにはデフォルトで適用不可
Office 2000 Personalには、もともとOffice Webコンポーネントが含まれておらず、インストールもされない。従って、後述するようにOffice
Webコンポーネントを別途インストールしていない限り、MS08-017のOffice 2000向け修正プログラムを適用する必要はない。実際、Office
2000 Personal SP3に対して、この修正プログラムを手動で実行しても「このシステムには、必要とされているバージョンの製品がありません。」というエラーが発生して適用できない。DA
Labで確認した限り、Office 2000 Personal SP3対しては、Office UpdateでもMS08-017の修正プログラムは検出されなかった。
ただしOffice 2000 Personal SP3であっても、MSOWC.DLLというファイルが存在する場合はOffice Webコンポーネントが後から別途インストールされた可能性がある。その場合はこの修正プログラムの適用を検討すべきだ。
■ActiveXコントロールにkillbitを設定
MS08-017の修正プログラムでは、以下のCLSIDに対してkillbitを設定し、ActiveXコントロールの脆弱性を攻撃に悪用されるのを防いでいる。
ファイル |
クラス識別子 |
MSOWC.DLL |
0002E510-0000-0000-C000-000000000046 |
0002E511-0000-0000-C000-000000000046 |
0002E533-0000-0000-C000-000000000046 |
0002E530-0000-0000-C000-000000000046 |
■修正プログラムのアンインストールに必要な条件
Office XP向けの修正プログラムは、以下の条件を満たせばアンインストール可能である。Office 2000向けの修正プログラムはアンインストールできない。
- OSがWindows XP SP2またはWindows Server 2003 SP1/R2/SP2
- Windows Installer 3.0以降をインストールした後で修正プログラムを適用
- OfficeのインストールCDにアクセス可能
|
|
|
プラットフォーム |
ダウンロード・センター |
Office Update/MU/WSUS/ダウロードセンターの表示 |
Office 2000 SP3 |
|
Office 2000 Web Components セキュリティ更新プログラム: KB931660 |
Office XP SP3
|
|
Office XP Web Components セキュリティ更新プログラム: KB932031 |
Visual Studio .NET 2002 SP1 |
|
Visual Studio .NET 2002 Service Pack 1 MSOWC.DLL セキュリティ更新プログラム |
Visual Studio .NET 2003 SP1 |
|
Visual Studio .NET 2003 Service Pack 1 MSOWC.DLL セキュリティ更新プログラム |
BizTalk Server 2000 |
|
Biztalk 2000 - 2002 Security Update |
BizTalk Server 2002 |
|
Biztalk 2000 - 2002 Security Update |
Commerce Server 2000 |
|
Commerce Sever 2000 セキュリティ更新プログラム: KB941305 |
ISA Server 2000 SP2 |
|
ISA Server 2000 レポート機能で使用される Microsoft Office Web コンポーネント 2000 用セキュリティ更新プログラム |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。Visual Studio
.NET 2002 SP1/2003 SP1、BizTalk Server 2000/2002、Commerce Server 2000、ISA Server
2000 SP2の各製品のファイル情報については、サポート対象外のため割愛させていただく。
Office 2000 SP3:
ファイル名 |
日付 |
バージョン |
サイズ |
office2000-KB931660-FullFile-JPN.exe |
2008/01/18 |
9.0.11367.0 |
2,680,392 |
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Microsoft Office\Office\ (デフォルトの設定) |
MSOWC.DLL |
2007/12/03 |
9.0.0.8966 |
3,048,496 |
Microsoft Office 2000 Web Components |
Office XP SP3:
ファイル名 |
日付 |
バージョン |
サイズ |
officexp-KB932031-FullFile-JPN.exe |
2008/01/25 |
10.0.6841.0 |
10,038,336 |
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\Microsoft Shared\Web Components\10\ |
OWC10.DLL |
2008/01/24 |
10.0.6829.0 |
7,255,384 |
Microsoft Office XP Web Components |
|
%ProgramFiles%\Common Files\Microsoft Shared\Office10\ |
MSOWC.DLL |
2008/01/24 |
9.0.0.8966 |
3,048,496 |
Microsoft Office 2000 Web Components |
|
|
|
修正プログラムが正しく適用できたかどうかは、MSOWC.DLLのファイルのバージョンをプロパティで調べることで確認できる。 |
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
office2000-KB931660-FullFile-JPN.exe
(Office 2000 SP3) |
13分 |
21分 |
47分 |
1時間31分 |
officexp-KB932031-FullFile-JPN.exe
(Office XP SP3) |
14分 |
23分 |
52分 |
1時間41分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。 |
UpdateEXPERT上の表示
|
・Office 2000 SP3:
[展開ビュー]−[Office]タブに「名前:office2000-KB931660-FullFile-JPN.exe」で登録
・Office XP SP3:
[展開ビュー]−[Office]タブに「名前:officexp-KB932031-FullFile-JPN.exe」で登録
・Visual Studio .NET 2002 SP1:
UpdateEXPERTのサポート対象外
・Visual Studio .NET 2003 SP1:
UpdateEXPERTのサポート対象外
・BizTalk Server 2000:
UpdateEXPERTのサポート対象外
・BizTalk Server 2002:
UpdateEXPERTのサポート対象外
・Commerce Server 2000:
UpdateEXPERTのサポート対象外
・ISA Server 2000 SP2:
UpdateEXPERTのサポート対象外 |
|