Microsoft Office Web Componentsに6つの脆弱性
◆概要:
マイクロソフト社のOffice ソフトウェアに含まれるOffice Web Components(OWC)で確認された6つの脆弱性により、攻撃者がターゲットコンピューター上のファイルを検出し、クリップボードをコントロールして、任意のファイルを読むことができるほか、スクリプテ
国際
海外情報
マイクロソフト社のOffice ソフトウェアに含まれるOffice Web Components(OWC)で確認された6つの脆弱性により、攻撃者がターゲットコンピューター上のファイルを検出し、クリップボードをコントロールして、任意のファイルを読むことができるほか、スクリプティングを無効にした場合でもスクリプトコードを実行できる。
Office XP にデフォルトインストールされているOWCは、スプレッドシート、グラフ、データベースをウェブ上で発行するためのコントロールを集めたものである。OWC の利用により、Microsoft FrontPage、AccessおよびExcelを使って、インタラクティブデータをウェブページの一部として発行できる。また、Internet Explorer (IE) 4.01以上では、発行されたコントロール(スプレッドシート、グラフまたはデータベース)をウェブページに表示できる。さらに、IE 5.0以上では、Data Access Page の表示も可能である。
第一の脆弱性は、OWCのグラフコンポーネントにある。Loadメソッドは割り当てられたURLのセキュリティチェックを一切行わないため、 要求されたファイル名が存在しない場合はエラーメッセージが、存在する場合は該当するファイルがそれぞれ返される。攻撃者は、グラフが埋め込まれたウェブページを作成して、攻撃を仕掛ける可能性がある。
ユーザーがグラフを含むウェブページにリンクされたURLをクリックすると、要求されたファイルのパスが既知であるとの仮定のもとで、ページ上の悪用コードがコンピューター上のファイルの有無を確認する。
第二の脆弱性は、OWC のスプレッドシートコンポーネントに存在する。XMLURLプロパティのリダイレクト機能を利用して、これをローカルファイルにリダイレクトするURLに割り当て、表示されるエラーメッセージによってファイルが存在するかどうかを確認できる。また、フォーマットされたワークシートXMLファイルを読むこともできる。
第三の脆弱性は、OWCのDataSourceControlコンポーネントにある。ConnectionFileプロパティが割り当てられたURLのセキュリティチェックを一切行わないため、ローカルファイルを割り当て、表示されるエラーメッセージによってファイルの有無を確認できる。
第四の脆弱性は、OWCのスプレッドシートコンポーネントにある。IEの「スクリプトによる貼り付け処理の許可」を無効に設定しても、コンピューターのクリップボードにアクセスできる。これは、Range オブジェクトのPaste メソッドとCellオブジェクトのCopyメソッドが、攻撃者によるクリップボードのコントロールを可能にするためである。
第五の脆弱性も、OWCのスプレッドシートコンポーネントにある。この場合、ターゲットコンピューター上の全てのファイルを読むことができる。問題は、Range オブジェクトのLoadText メソッドが最初の引数としてURLを使用する点である。指定のURLが現在のドキュメントと同じドメインにない場合はエラーメッセージが表示されるが、ターゲットファイルにリダイレクトするURLの提供によってこれをバイパスできる。その結果、OWCは、URLが安全であると思い込むことになる。次に、ファイルのコンテンツをスプレッドシートにロードして、攻撃者がコンテンツを入手する。
第六の脆弱性も、OWCのスプレッドシートに存在する。このコンポーネントにある“=HOST()” の数式は、ホスティング環境に対するハンドルを返す。“=HOST()” の数式を介し、ウィンドウオブジェクトのsetTimeout メソッドを使ってDOMを操作することができる。DOMの操作によって、スクリプト実行を無効に設定した場合でも、スクリプトの実行が可能になる。
◆情報ソース:
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm005-ie/ ), April 08,2002
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm006-ie/ ), April 08,2002
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm007-ie/ ), April 08,2002
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm008-ie/ ), April 08,2002
・ NTBugtraq (Russ Cooper, russ.cooper@rc.on.ca ), April 08, 2002
◆分析:
(iDEFENSE 米国) 攻撃者は、最初の3つの脆弱性を利用して、ターゲットコンピューター上のファイルの有無を確認できる。この情報を活用して、ターゲットコンピューターに更なる攻撃を仕掛ける可能性がある。4つ目の脆弱性では、クリップボードをモニターしてその結果を全て記録できるほか、クリップボードにデータを挿入できる可能性もある。5つ目の脆弱性では、ターゲットコンピューター上のファイルを読むことができる。最後のバグは、ターゲットユーザーのコンピューター上でのスクリプトコードの実行を可能にする。
いずれのケースでも、Office XPがターゲットコンピューターにインストールされている場合を除き、
http://download.microsoft.com/download/officexpstandard/owc10/2/w98nt42kme/en-us/owc10.exe
で提供されているOWC ビューイングツールを、脆弱性の影響を受ける前にインストールする必要がある。攻撃者がターゲットユーザーに電子メールを送信する可能性が高いが、このメールは埋め込まれたリンクをユーザーにクリックさせるように仕組まれている。ウェブページが開くと、OWC ビューイングツールがインストールされる場合とインストールされない場合があり、その結果によって攻撃発生の有無が決まることになる。
◆検知方法:
第一の脆弱性はOWC 9および10、第二の脆弱性はOWC 10、第三の脆弱性はOWC 10、第四の脆弱性はOWC 9および10、第五の脆弱性はOWC 9および10、第六の脆弱性はOWC 10にそれぞれ影響する。
◆暫定処置:
「ActiveXコントロールとプラグインの実行」を無効にする。IE 6.0には、管理者が承認したActiveXコントロールのリストを作成する機能がある。管理者は、この機能を利用してスクリプトするコントロールを制限できる。これを全てのゾーンに適用すると、前述のほとんどの脆弱性に対応できる。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【16:32 GMT、04、09、2002】
《ScanNetSecurity》