IPA、Microsoft Office 等の脆弱性の修正について

資格概要
日本マイクロソフト社の Microsoft Office 等にリモートからコード(命令)が実行される等の脆弱性が存在します。(KB2720573)(MS12-060)

MSCOMCTL.OCX の RCE の脆弱性 - CVE-2012-1856

この脆弱性は、Microsoft Office 等で利用する Windows コモンコントロールの ActiveX の処理に存在します。攻撃者は、細工したウェブサイトを作成し利用者を誘導します。利用者がそのウェブサイトを閲覧した場合、コンピュータを攻撃者により制御される恐れがあります。

この脆弱性を悪用した攻撃が確認されたとの情報があるため、MS12-060 を至急適用してください。

■対象
Microsoft Office 2003 Service Pack 3
Microsoft Office 2003 Web コンポーネント Service Pack 3
Microsoft Office 2007 Service Pack 2
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 1 (32 ビット版)
Microsoft SQL Server 2000 Service Pack 4
Microsoft SQL Server 2000 Analysis Services Service Pack 4
Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4
Microsoft SQL Server 2005 for 32-bit Systems Service Pack 4
Microsoft SQL Server 2005 for x64-based Systems Service Pack 4
Microsoft SQL Server 2005 for Itanium-based Systems Service Pack 4
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 2
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 3
Microsoft SQL Server 2008 for x64-based Systems Service Pack 2
Microsoft SQL Server 2008 for x64-based Systems Service Pack 3
Microsoft SQL Server 2008 for Itanium-based Systems Service Pack 2
Microsoft SQL Server 2008 for Itanium-based Systems Service Pack 3
Microsoft SQL Server 2008 R2 for 32-bit Systems
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 1
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 2
Microsoft SQL Server 2008 R2 for x64-based Systems
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 1
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 2
Microsoft SQL Server 2008 R2 for Itanium-based Systems
Microsoft SQL Server 2008 R2 for Itanium-based Systems Service Pack 1
Microsoft SQL Server 2008 R2 for Itanium-based Systems Service Pack 2
Microsoft Commerce Server 2002 Service Pack 4
Microsoft Commerce Server 2007 Service Pack 2
Microsoft Commerce Server 2009
Microsoft Commerce Server 2009 R2
Microsoft Host Integration Server 2004 Service Pack 1
Microsoft Visual FoxPro 8.0 Service Pack 1
Microsoft Visual FoxPro 9.0 Service Pack 2
Visual Basic 6.0 ランタイム

■対策
1. 脆弱性の解消 - 修正プログラムの適用 -
日本マイクロソフト社から提供されている修正プログラムを適用して下さい。修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/

Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx

なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。

個別の修正プログラムをダウンロードしてインストールする方法
下記の日本マイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-060

2. 回避策 -
日本マイクロソフト社から提供される情報を参照して下さい。

日本マイクロソフト社からの情報(MS12-060)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-060

IPA
http://www.ipa.go.jp/security/ciadr/vul/20120815-windows.html