IPA、Microsoft Office等の脆弱性について

概要
日本マイクロソフト社の Microsoft Office 等にリモートからコード(命令)が実行される脆弱性が存在します。(2664258)(MS12-027)

MSCOMCTL.OCX の RCE の脆弱性 - CVE-2012-0158

この脆弱性は、Microsoft Office 等で利用する Windows コモンコントロール の ActiveX の処理に存在します。攻撃者は、細工したウェブサイトを作成し利用者を誘導します。利用者がそのウェブサイトを閲覧した場合、コンピュータを攻撃者により制御される恐れがあります。

この脆弱性を悪用した攻撃が確認されたとの情報があるため、MS12-027 を至急適用してください。

対象
次の Windows 製品が対象です。

Microsoft Office 2003 SP3
Microsoft Office 2003 Web コンポーネント SP3
Microsoft Office 2007 SP2
Microsoft Office 2007 SP3
Microsoft Office 2010 (32ビット版)
Microsoft Office 2010 SP1 (32ビット版)
Microsoft SQL Server 2000 Analysis Services SP4
Microsoft SQL Server 2000 SP4
Microsoft SQL Server 2005 Express Edition with Advanced Services SP4
Microsoft SQL Server 2005 for 32-bit Systems SP4
Microsoft SQL Server 2005 for Itanium-based Systems SP4
Microsoft SQL Server 2005 for x64-based Systems SP4
Microsoft SQL Server 2008 for 32-bit Systems SP2
Microsoft SQL Server 2008 for 32-bit Systems SP3
Microsoft SQL Server 2008 for x64-based Systems SP2
Microsoft SQL Server 2008 for x64-based Systems SP3
Microsoft SQL Server 2008 for Itanium-based Systems SP2
Microsoft SQL Server 2008 for Itanium-based Systems SP3
Microsoft SQL Server 2008 R2 for 32-bit Systems
Microsoft SQL Server 2008 R2 for x64-based Systems
Microsoft SQL Server 2008 R2 for Itanium-based Systems
Microsoft BizTalk Server 2002 SP1
Microsoft Commerce Server 2002 SP4
Microsoft Commerce Server 2007 SP2
Microsoft Commerce Server 2009
Microsoft Commerce Server 2009 R2
Microsoft Visual FoxPro 8.0 SP1
Microsoft Visual FoxPro 9.0 SP2
Visual Basic 6.0 ランタイム
対策
1.脆弱性の解消 - 修正プログラムの適用 -
 日本マイクロソフト社から提供されている修正プログラムを適用して下さい。修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/

Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/ja-jp/security/pc-security/j_musteps.aspx

なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。

個別の修正プログラムをダウンロードしてインストールする方法下記の日本マイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027
2.回避策 -
 日本マイクロソフト社から提供される情報を参照して下さい。 

日本マイクロソフト社からの情報(MS12-027)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027

IPA
http://www.ipa.go.jp/security/ciadr/vul/20120411-Windows.html