Launch Printer Friendly Page Security TechCenter > セキュリティ情報 > マイクロソフト セキュリティ情報 MS12-030

マイクロソフト セキュリティ情報 MS12-030 - 重要

Microsoft Office の脆弱性により、リモートでコードが実行される (2663830)

公開日: | 最終更新日:

バージョン: 1.1

概説

概要

このセキュリティ更新プログラムは Microsoft Office に存在する 1 件の一般に公開された脆弱性および 5 件の非公開で報告された脆弱性を解決します。これらの脆弱性で、特別に細工された Office ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります。これらの脆弱性が悪用された場合、攻撃者がログオン ユーザーと同じ権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

このセキュリティ更新プログラムの深刻度は、すべてのサポートされているエディションの Microsoft Excel 2003、Microsoft Excel 2007、Microsoft Office 2007、Microsoft Excel 2010、Microsoft Office 2010、Microsoft Office 2008 for Mac、Microsoft Office for Mac 2011、すべてのサポートされているバージョンの Microsoft Excel Viewer および Microsoft Office 互換機パックで「重要」と評価されています。詳細情報については、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションを参照してください。

このセキュリティ更新プログラムは、Microsoft Excel が特別な細工がされた Excel ファイルを開く際のデータを検証する方法を修正することにより、これらの脆弱性を解決します。これらの脆弱性の詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。

推奨する対応策: お客様は Microsoft Update サービスを使用して Microsoft Update からオンラインで更新プログラムをチェックするための自動更新を構成することができます。Microsoft Update から更新プログラムをオンラインでチェックするために自動更新を有効にし、構成しているお客様は、通常このセキュリティ更新プログラムは自動でダウンロードおよびインストールされるため、特に操作をする必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で Microsoft Update で確認し、インストールする必要があります。サポートされているエディションの Windows XP および Windows Server 2003 の自動更新の特定の構成オプションの詳細については、 マイクロソフト サポート技術情報 294871 を参照してください。Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 のサポートされているエディションの自動更新の詳細については、「Windows 自動更新とは」を参照してください。

管理者およびエンタープライズのインストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンドユーザーは、更新プログラムの管理ソフトウェアまたは Microsoft Update サービスで更新プログラムを確認して、この更新プログラムをできる限り早期に適用することを推奨します。

このセキュリティ情報の後半の「検出および展開ツールとガイダンス」を参照してください。

既知の問題: なし

影響を受けるソフトウェアおよび影響を受けないソフトウェア

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポート ライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、マイクロソフト サポート ライフサイクルの Web サイトを参照してください。

影響を受けるソフトウェア

Microsoft Office

Microsoft Office スイートおよびその他のソフトウェアコンポーネント最も深刻な脆弱性の影響総合的な深刻度置き換えられる更新プログラム
Microsoft Office スイートおよびコンポーネント
Microsoft Office 2003 Service Pack 3Microsoft Excel 2003 Service Pack 3
(KB2597086)
リモートでコードが実行される重要MS11-096 の KB2596954 は KB2597086 に置き換えられます
Microsoft Office 2007 Service Pack 2 Microsoft Excel 2007 Service Pack 2[1]
(KB2597161)
リモートでコードが実行される重要MS11-072 の KB2553073 は KB2597161 に置き換えられます
Microsoft Office 2007 Service Pack 2
(KB2597969)
対象外リモートでコードが実行される重要なし
Microsoft Office 2007 Service Pack 3Microsoft Excel 2007 Service Pack 3[1]
(KB2597161)
リモートでコードが実行される重要なし
Microsoft Office 2007 Service Pack 3
(KB2597969)
対象外リモートでコードが実行される重要なし
Microsoft Office 2010 (32 ビット版)Microsoft Excel 2010 (32 ビット版)
(KB2597166)
リモートでコードが実行される重要MS11-072 の KB2553070 は KB2597166 に置き換えられます
Microsoft Office 2010 (32 ビット版)
(KB2553371)
対象外リモートでコードが実行される重要なし
Microsoft Office 2010 Service Pack 1 (32 ビット版)Microsoft Excel 2010 Service Pack 1 (32 ビット版)
(KB2597166)
リモートでコードが実行される重要MS11-072 の KB2553070 は KB2597166 に置き換えられます
Microsoft Office 2010 Service Pack 1 (32 ビット版)
(KB2553371)
対象外リモートでコードが実行される重要なし
Microsoft Office 2010 (64 ビット版)Microsoft Excel 2010 (64 ビット版)
(KB2597166)
リモートでコードが実行される重要MS11-072 の KB2553070 は KB2597166 に置き換えられます
Microsoft Office 2010 (64 ビット版)
(KB2553371)
対象外リモートでコードが実行される重要なし
Microsoft Office 2010 Service Pack 1 (64 ビット版)Microsoft Excel 2010 Service Pack 1 (64 ビット版)
(KB2597166)
リモートでコードが実行される重要MS11-072 の KB2553070 は KB2597166 に置き換えられます
Microsoft Office 2010 Service Pack 1 (64 ビット版)
(KB2553371)
対象外リモートでコードが実行される重要なし
Microsoft Office for Mac
Microsoft Office 2008 for Mac
(KB2665346)
対象外リモートでコードが実行される重要MS11-094 の KB2644354 は KB2665346 に置き換えられます
Microsoft Office for Mac 2011
(KB2665351)
対象外リモートでコードが実行される重要MS11-089 の KB2644347 は KB2665351 に置き換えられます
その他の Microsoft Office ソフトウェア
Microsoft Excel Viewer[2]
(KB2596842)
対象外リモートでコードが実行される重要MS11-072 の KB2553075 は KB2596842 に置き換えられます
Microsoft Office 互換機能パック Service Pack 2
(KB2597162)
対象外リモートでコードが実行される重要MS11-072 の KB2553074 は KB2597162 に置き換えられます
Microsoft Office 互換機能パック Service Pack 3
(KB2597162)
対象外リモートでコードが実行される重要MS11-072 の KB2553074 は KB2597162 に置き換えられます

[1]Microsoft Excel 2007 について、セキュリティ更新プログラム パッケージ KB2597161 に加えて、お客様はこのセキュリティ情報で説明している脆弱性からの保護を行うために、Microsoft Office 互換機能パック (KB2597162) のセキュリティ更新プログラムもインストールする必要があります。

[2]この更新プログラムをインストールする前に、Microsoft Excel Viewer がサポートされているサービス パックのレベル (Excel Viewer 2007 Service Pack 2 または Excel Viewer 2007 Service Pack 3) に更新する必要があります。サポートされている Office ビューアーの詳細については、サポート技術情報 979860 を参照してください。

影響を受けないソフトウェア

Office およびその他のソフトウェア
Microsoft SharePoint Server 2010 および Microsoft SharePoint Server 2010 Service Pack 1
Microsoft Office Web Application Companions (WAC)
Open XML File Format Converter for Mac
Microsoft Visio 2010 および Microsoft Visio 2010 Service Pack 1 (32 ビット版)
Microsoft Visio 2010 および Microsoft Visio 2010 Service Pack 1 (64 ビット版)
Microsoft Office Word Viewer
Microsoft Visio Viewer 2010 および Microsoft Visio Viewer 2010 Service Pack 1
Microsoft Works 9

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

脆弱性の情報

深刻度および脆弱性識別番号

Excel ファイル形式のメモリ破損の脆弱性 - CVE-2012-0141

OBJECTLINK レコードの Excel ファイル形式のメモリ破損の脆弱性 - CVE-2012-0142

さまざまな変更されたバイトを使用するときの Excel メモリ破損の脆弱性 - CVE-2012-0143

Excel SXLI レコードのメモリ破損の脆弱性 - CVE-2012-0184

Excel MergeCells レコードのヒープ オーバーフローの脆弱性 - CVE-2012-0185

Excel Series レコードの解析の種類の不一致の脆弱性 - CVE-2012-1847

更新プログラムに関する情報

検出および展開ツールとガイダンス

セキュリティ更新プログラムの展開

関連情報

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い 謝意 を表します。

  • Excel ファイル形式のメモリ破損の脆弱性 (CVE-2012-0141) を報告してくださった Omair
  • OBJECTLINK レコードの Excel ファイル形式のメモリ破損の脆弱性 (CVE-2012-0142) を報告してくださった Omair
  • VeriSign iDefense Labs に協力して、Excel SXLI レコードのメモリ破損の脆弱性 (CVE-2012-0184) で説明している問題を報告してくださった Omair 氏
  • VeriSign iDefense Labs と協力して、Excel MergeCells レコードのヒープ オーバーフローの脆弱性 (CVE-2012-0185) を報告してくださった Sean Larsson 氏および Jun Mao 氏
  • VeriSign iDefense Labs と協力して、Excel Series レコードの種類の解析の不一致の脆弱性 (CVE-2012-1847) を報告してくださった Sean Larsson 氏および Jun Mao 氏
  • Excel Series レコードの解析の種類の不一致の脆弱性 (CVE-2012-1847) を TippingPointZero Day Initiative と協力して報告してくださった匿名のリサーチャー

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

サポート

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2012/05/09): このセキュリティ情報ページを公開しました。
  • V1.1 (2012/05/11): このセキュリティ情報ページを更新し、CVE-2012-1847 のタイトルを更新しました。