このセキュリティ更新プログラムは、サポートされているすべてのバージョンの Microsoft Visual Basic for Applications SDK と、Microsoft Visual Basic for Applications を使用するサード パーティ製アプリケーションで重要と評価されます。 このセキュリティ更新プログラムは、Microsoft Office 2003 SP3、Microsoft Office 2007 SP2、および Microsoft Office 2010 でサポートされているすべてのエディションでも重要と評価されます。 詳細については、このセクションのサブセクション「 影響を受けないソフトウェア」を参照してください。
このセキュリティ更新プログラムは、Microsoft Visual Basic for Applications が外部ライブラリを読み込む方法を修正することで、この脆弱性を解決します。 この脆弱性の詳細については、次のセクション「 脆弱性情報」の下にある、特定の脆弱性エントリに関するよく寄せられる質問 (FAQ) サブセクションを参照してください。
推奨。 お客様は、microsoft Update サービスを使用して、Microsoft Update からの更新プログラムをオンラインで確認するように自動更新構成できます。 自動更新を有効にして、Microsoft Update からの更新プログラムをオンラインで確認するように構成されているお客様は、通常、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、Microsoft Update の更新プログラムを確認し、この更新プログラムを手動でインストールする必要があります。 サポートされているエディションの Windows XP および Windows Server 2003 での自動更新の特定の構成オプションについては、「 Microsoft サポート技術情報の記事294871を参照してください。 Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 のサポートされているエディションでの自動更新については、「 Windows 自動更新の概要を参照してください。
管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンド ユーザーの場合、Microsoft では、更新プログラム管理ソフトウェアを使用するか、 Microsoft Update サービスを使用して更新プログラムを確認することで、できるだけ早く更新プログラムを適用することをお勧めします。
このセキュリティ情報の後半の「 Detection and Deployment Tools and Guidance」セクションも参照してください。
[1]この更新プログラム パッケージは、サポートされているバージョンの Microsoft Visual Basic for Applications ランタイム (Vbe6.dll) に適用され、Microsoft ダウンロード センターでのみ使用できます。
[2]VBA SDK のサポートされているバージョンは、Microsoft Visual Basic for Applications SDK 6.3、Microsoft Visual Basic for Applications SDK 6.4、および Microsoft Visual Basic for Applications SDK 6.5 です。
[3]このセキュリティ情報で説明されている脆弱性に対処する Visual Basic for Applications SDK の更新バージョンは、Summit Software Company の独立系ソフトウェア ベンダー (ISV) で入手できます。 詳細については、次のセクション「 このセキュリティ更新プログラムに関連する頻度の低い質問 (FAQ)を参照してください。
影響を受けるソフトウェア以外のソフトウェア
Office およびその他のソフトウェア
Microsoft Office 2008 for Mac
Microsoft Office for Mac 2011
Microsoft Office Compatibility Pack Service Pack 2 と Microsoft Office Compatibility Pack Service Pack 3
Microsoft Excel Viewer
Microsoft Word ビューアー
Microsoft PowerPoint Viewer
Microsoft Visio Viewer 2010 および Microsoft Visio Viewer 2010 Service Pack 1
このセキュリティ更新プログラムに関連してよく寄せられる質問 (FAQ)
2012 年 11 月 13 日にこのセキュリティ情報が改訂された理由
Microsoft は、適切なタイムスタンプ属性なしで Microsoft によって生成された特定のデジタル証明書に関する問題に対処するために、KB2598361更新プログラムを Microsoft Office 2003 Service Pack 3 のKB2687626更新プログラムに置き換えるために、このセキュリティ情報を再リリースしました。 詳細については、「 Microsoft セキュリティ アドバイザリ 2749655」を参照してください。
必要な Microsoft セキュリティ更新プログラムを適用しましたが、システムに影響を受けるバージョンの Visual Basic for Applications ランタイム (VBE6.dll) がまだ残っています。 この DLL 操作方法更新しますか?
Microsoft Office に必要なセキュリティ更新プログラムと、このセキュリティ情報に記載されている Microsoft Visual Basic for Applications の更新プログラムをインストールした後でも、システムに影響を受けるバージョンのVBE6.dllが残っている場合があります。
サポートされているバージョンの Microsoft Office によってVBE6.dllがシステムにインストールされている場合、影響を受けるバージョンの Microsoft Office のセキュリティ更新プログラムを適用すると、VBE6.dllは、このセキュリティ情報に記載されている脆弱性に対処する更新バージョンに置き換えられます。 ただし、サード パーティ製のアプリケーションによってVBE6.dllがシステムにインストールされている場合は、そのプログラムの更新プログラムをインストールする必要があります。
システム上のVBE6.dllのコピーをスキャンする方法の詳細については、 Microsoft サポート技術情報の記事978213を参照してください。 システム上のVBE6.dllのすべてのコピーをスキャンすると、サードパーティ製のアプリケーションによってインストールされた可能性がある潜在的に脆弱なコピーを特定するのに役立つ場合があります。
私はサードパーティsoftwaredeveloperであり、アプリケーションで Microsoft Visual Basic for Applications ランタイムを使用しています。アプリケーションは脆弱であり、どのように更新すればよいですか?
Microsoft Visual Basic for Applications ランタイム VBE6.dllを再配布する開発者は、 Summit Software Company から Microsoft Visual Basic for Applications SDK の更新バージョンをダウンロードする必要があります。 次に、更新された VBA ランタイムでアプリケーション インストーラーを更新します。 再配布されたコンポーネントの使用に関するベスト プラクティスの詳細については、 Microsoft サポート技術情報の記事 835322 および MSDN の記事「 Isolated Applications and side-by-side Assembliesを参照してください。
私は ISV です。 Microsoft Visual Basic for Applications SDK の更新プログラムはどこにありますか?
この更新プログラムは、 Summit Software Company から入手できます。 Summit Software Company は、独立系ソフトウェア ベンダー (ISV) および企業開発者向けに、アプリケーション カスタマイズ ソフトウェア製品と統合サポート サービスのグローバル サプライヤーです。 1996 年 6 月、Summit Software は、Microsoft Visual Basic for Applications および関連する付加価値テクノロジとサービスを販売する契約を Microsoft と締結しました。 Summit は引き続き Microsoft VBA の販売とサポートを行っています。
この脆弱性の影響を受けるMicrosoft Office スタンドアロン プログラム方法
Microsoft Office スタンドアロン プログラムは、Microsoft Office Suite の対応するコンポーネントと同じ重大度評価の影響を受けます。 たとえば、Microsoft Excel のスタンドアロン インストールは、Microsoft Office Suite で提供された Microsoft Excel のインストールと同じ重大度評価の影響を受けます。
このセキュリティ情報で説明されているソフトウェアの以前のリリースを使用しています。 どうすればよいですか。
このセキュリティ情報に記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。 他のリリースはサポート ライフサイクルを過ぎている。 製品ライフサイクルの詳細については、Microsoft サポート ライフサイクル Web サイトを参照してください。
古いソフトウェアのカスタム サポートを必要とするお客様は、カスタム サポート オプションについて、Microsoft アカウント チームの担当者、テクニカル アカウント マネージャー、または適切な Microsoft パートナー担当者にお問い合わせください。 アライアンス、プレミア、または承認された契約を持たないお客様は、お住まいの地域の Microsoft 営業所にお問い合わせください。 連絡先情報については、 Microsoft Worldwide Information Web サイトを参照し、[連絡先情報] リストで国を選択し、[ Go ] をクリックして電話番号の一覧を表示します。 お電話の際は、地元の Premier サポートセールスマネージャーにお問い合わせください。 詳細については、Microsoft サポート ライフサイクル ポリシーに関する FAQ を参照してください。
脆弱性情報
重大度の評価と脆弱性識別子
次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性の可能性については、 July セキュリティ情報の概要の Exploitability Index を参照してください。 詳細については、「 Microsoft Exploitability Index」を参照してください。
影響を受けるソフトウェア
Visual Basic for Applications の安全でないライブラリの読み込みの脆弱性 - CVE-2012-1854
重大度の評価の集計
Office Suite
Microsoft Office 2003 Service Pack 3
重要 リモート コード実行
重要
Microsoft Office 2007 Service Pack 2
重要 リモート コード実行
重要
Microsoft Office 2007 Service Pack 3
重要 リモート コード実行
重要
Microsoft Office 2010 (32 ビット エディション)
重要 リモート コード実行
重要
Microsoft Office 2010 Service Pack 1 (32 ビット エディション)
重要 リモート コード実行
重要
Microsoft Office 2010 (64 ビット エディション)
重要 リモート コード実行
重要
Microsoft Office 2010 Service Pack 1 (64 ビット エディション)
重要 リモート コード実行
重要
開発者ツール
Microsoft Visual Basic for Applications[1]
重要 リモート コード実行
重要
Microsoft Visual Basic for Applications SDK[2]
重要 リモート コード実行
重要
[1]この更新プログラム パッケージは、サポートされているバージョンの Microsoft Visual Basic for Applications ランタイム (Vbe6.dll) に適用され、Microsoft ダウンロード センターでのみ使用できます。
[2]VBA SDK のサポートされているバージョンは、Microsoft Visual Basic for Applications SDK 6.3、Microsoft Visual Basic for Applications SDK 6.4、および Microsoft Visual Basic for Applications SDK 6.5 です。
Visual Basic for Applications の安全でないライブラリの読み込みの脆弱性 - CVE-2012-1854
Microsoft Visual Basic for Applications が DLL ファイルの読み込みを処理する方法に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。
Microsoft Office for Mac のお客様の場合、Microsoft AutoUpdate for Mac は Microsoft ソフトウェアを最新の状態に保つのに役立ちます。 Microsoft AutoUpdate for Mac の使用方法の詳細については、「 ソフトウェア更新プログラムを自動的にチェックするを参照してください。
最後に、セキュリティ更新プログラムは、 Microsoft Update Catalog からダウンロードできます。 Microsoft Update カタログには、セキュリティ更新プログラム、ドライバー、サービス パックなど、Windows Update と Microsoft Update を通じて利用できるコンテンツの検索可能なカタログが用意されています。 セキュリティ情報番号 ("MS07-036" など) を使用して検索すると、該当するすべての更新プログラムをバスケットに追加し (更新プログラムの異なる言語を含む)、選択したフォルダーにダウンロードできます。 Microsoft Update カタログの詳細については、「 Microsoft Update カタログに関する FAQを参照してください。
検出と展開のガイダンス
Microsoft では、セキュリティ更新プログラムの検出と展開に関するガイダンスを提供しています。 このガイダンスには、IT プロフェッショナルがセキュリティ更新プログラムの検出と展開にさまざまなツールを使用する方法を理解するのに役立つ推奨事項と情報が含まれています。 詳細については、「 Microsoft サポート技術情報の記事961747を参照してください。
Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) を使用すると、管理者はローカル およびリモート システムをスキャンして、不足しているセキュリティ更新プログラムと、一般的なセキュリティ構成の誤りを確認できます。 MBSA の詳細については、「 Microsoft ベースライン セキュリティ アナライザーを参照してください。
次の表に、このセキュリティ更新プログラムの MBSA 検出の概要を示します。
ソフトウェア
MBSA
Microsoft Office 2003 Service Pack 3
はい
Microsoft Office 2007 Service Pack 2 および Microsoft Office 2007 Service Pack 3
はい
Microsoft Office 2010 および Microsoft Office 2010 Service Pack 1 (32 ビット エディション)
はい
Microsoft Office 2010 および Microsoft Office 2010 Service Pack 1 (64 ビット エディション)
はい
Microsoft Visual Basic for Applications
いいえ
注 MBSA、Microsoft Update、および Windows Server Update Services の最新リリースでサポートされていないレガシ ソフトウェアを使用しているお客様は、 Microsoft ベースライン セキュリティ アナライザーにアクセスし レガシ ツールで包括的なセキュリティ更新プログラムの検出を作成する方法については、「レガシ 製品サポート」セクションを参照してください。
Windows Server Update Services
Windows Server Update Services (WSUS) を使用すると、情報技術管理者は、Windows オペレーティング システムを実行しているコンピューターに最新の Microsoft 製品更新プログラムを展開できます。 Windows Server Update Services を使用してセキュリティ更新プログラムを展開する方法の詳細については、TechNet の記事「 Windows Server Update Servicesを参照してください。
Systems Management Server
次の表に、このセキュリティ更新プログラムの SMS 検出と展開の概要を示します。
ソフトウェア
ITMU を使用した SMS 2003
System Center Configuration Manager
Microsoft Office 2003 Service Pack 3
はい
はい
Microsoft Office 2007 Service Pack 2 および Microsoft Office 2007 Service Pack 3
はい
はい
Microsoft Office 2010 および Microsoft Office 2010 Service Pack 1 (32 ビット エディション)
はい
はい
Microsoft Office 2010 および Microsoft Office 2010 Service Pack 1 (64 ビット エディション)
はい
はい
Microsoft Visual Basic for Applications
いいえ
いいえ
注 Microsoft は 2011 年 4 月 12 日に SMS 2.0 のサポートを終了しました。 SMS 2003 では、Microsoft は 2011 年 4 月 12 日にセキュリティ更新プログラム インベントリ ツール (SUIT) のサポートも終了しました。 お客様は、 System Center Configuration Manager にアップグレードすることをお勧めします。 SMS 2003 Service Pack 3 に残っているお客様の場合、 Inventory Tool for Microsoft Updates (ITMU) もオプションです。
System Center Configuration Manager では、更新プログラムの検出に WSUS 3.0 が使用されます。 System Center Configuration Manager ソフトウェア更新プログラムの管理の詳細については、 System Center を参照してください。
サポートされているバージョンの Microsoft Office XP については、「 管理インストール ポイントの作成を参照してください。 クライアント システムのソースを更新された管理インストール ポイントから Office XP の元のベースライン ソースに変更する方法の詳細については、「 Microsoft サポート技術情報の記事922665を参照してください。 注 更新された管理イメージからソフトウェア更新プログラムを一元的に管理する場合は、「修正プログラムが適用された管理イメージから Office XP クライアントを する」の記事で詳細を確認できます。
サポートされているバージョンの Microsoft Office 2003 については、「 管理インストール ポイントの作成を参照してください。 クライアント コンピューターのソースを、更新された管理インストール ポイントから Office 2003 の元のベースライン ソースまたは Service Pack 3 (SP3) に変更する方法の詳細については、「 Microsoft サポート技術情報の記事902349を参照してください。 注 更新された管理イメージからソフトウェア更新プログラムを一元的に管理する予定の場合は、「Office 2003 製品の更新プログラムを表示する」を参照してください。
Application Compatibility Toolkit (ACT) には、環境に Windows Vista、Windows Update、Microsoft セキュリティ更新プログラム、または新しいバージョンの Windows Internet Explorer を展開する前に、アプリケーションの互換性の問題を評価して軽減するために必要なツールとドキュメントが含まれています。
検出と展開については、前のセクション「 Detection and Deployment Tools and Guidance. \ \ \」を参照してください。選択的にインストールできる機能については、このセクションの「 Office Features for Administrative Installations subsection」を参照してください。
再起動の要件
再起動が必要ですか?
場合によっては、この更新プログラムを再起動する必要はありません。 必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生した場合は、再起動を推奨するメッセージが表示されます。\ \ 再起動が必要になる可能性を減らすには、影響を受けるすべてのサービスを停止し、セキュリティ更新プログラムをインストールする前に、影響を受けるファイルを使用するすべてのアプリケーションを閉じます。 再起動を求められる理由の詳細については、「 Microsoft サポート技術情報の記事887012を参照してください。
Version タブで、システムにインストールされているファイルのバージョンを、適切なファイル情報テーブルに記載されているバージョンと比較して確認します。 注 インストール時にファイル バージョン以外の属性が変更される場合があります。 他のファイル属性とファイル情報テーブル内の情報の比較は、更新プログラムが適用されたことを確認するサポートされている方法ではありません。 また、場合によっては、インストール時にファイルの名前が変更されることがあります。 ファイルまたはバージョンの情報が存在しない場合は、他のいずれかの方法を使用して更新プログラムのインストールを確認します。
その他の情報
謝辞
Microsoft thanks お客様の保護に役立つ Microsoft と連携するための以下の情報を提供します。
Visual Basic for Applications の安全でないライブラリ読み込みの脆弱性を報告するための Huawei Security Labs の Bai Haowen (CVE-2012-1854)
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、「 Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーが提供するアクティブな保護 Web サイトを参照してください。
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
V1.0 (2012 年 7 月 10 日): セキュリティ情報が公開されました。
V2.0 (2012 年 11 月 13 日): Microsoft セキュリティ アドバイザリ 2749655で説明されているデジタル証明書の問題に対処するために、KB2598361更新プログラムを Microsoft Office 2003 Service Pack 3 のKB2687626更新プログラムに置き換えるセキュリティ情報を再リリースしました。 詳細については、更新プログラムに関する FAQ を参照してください。