Microsoft Office Web Componentsに6つの脆弱性

◆概要：
　マイクロソフト社のOffice ソフトウェアに含まれるOffice Web Components(OWC)で確認された6つの脆弱性により、攻撃者がターゲットコンピューター上のファイルを検出し、クリップボードをコントロールして、任意のファイルを読むことができるほか、スクリプティングを無効にした場合でもスクリプトコードを実行できる。

　Office XP にデフォルトインストールされているOWCは、スプレッドシート、グラフ、データベースをウェブ上で発行するためのコントロールを集めたものである。OWC の利用により、Microsoft FrontPage、AccessおよびExcelを使って、インタラクティブデータをウェブページの一部として発行できる。また、Internet Explorer (IE) 4.01以上では、発行されたコントロール（スプレッドシート、グラフまたはデータベース）をウェブページに表示できる。さらに、IE 5.0以上では、Data Access Page の表示も可能である。

　第一の脆弱性は、OWCのグラフコンポーネントにある。Loadメソッドは割り当てられたURLのセキュリティチェックを一切行わないため、要求されたファイル名が存在しない場合はエラーメッセージが、存在する場合は該当するファイルがそれぞれ返される。攻撃者は、グラフが埋め込まれたウェブページを作成して、攻撃を仕掛ける可能性がある。
　ユーザーがグラフを含むウェブページにリンクされたURLをクリックすると、要求されたファイルのパスが既知であるとの仮定のもとで、ページ上の悪用コードがコンピューター上のファイルの有無を確認する。

　第二の脆弱性は、OWC のスプレッドシートコンポーネントに存在する。XMLURLプロパティのリダイレクト機能を利用して、これをローカルファイルにリダイレクトするURLに割り当て、表示されるエラーメッセージによってファイルが存在するかどうかを確認できる。また、フォーマットされたワークシートXMLファイルを読むこともできる。

　第三の脆弱性は、OWCのDataSourceControlコンポーネントにある。ConnectionFileプロパティが割り当てられたURLのセキュリティチェックを一切行わないため、ローカルファイルを割り当て、表示されるエラーメッセージによってファイルの有無を確認できる。

　第四の脆弱性は、OWCのスプレッドシートコンポーネントにある。IEの「スクリプトによる貼り付け処理の許可」を無効に設定しても、コンピューターのクリップボードにアクセスできる。これは、Range オブジェクトのPaste メソッドとCellオブジェクトのCopyメソッドが、攻撃者によるクリップボードのコントロールを可能にするためである。

　第五の脆弱性も、OWCのスプレッドシートコンポーネントにある。この場合、ターゲットコンピューター上の全てのファイルを読むことができる。問題は、Range オブジェクトのLoadText メソッドが最初の引数としてURLを使用する点である。指定のURLが現在のドキュメントと同じドメインにない場合はエラーメッセージが表示されるが、ターゲットファイルにリダイレクトするURLの提供によってこれをバイパスできる。その結果、OWCは、URLが安全であると思い込むことになる。次に、ファイルのコンテンツをスプレッドシートにロードして、攻撃者がコンテンツを入手する。

　第六の脆弱性も、OWCのスプレッドシートに存在する。このコンポーネントにある“=HOST()” の数式は、ホスティング環境に対するハンドルを返す。“=HOST()” の数式を介し、ウィンドウオブジェクトのsetTimeout メソッドを使ってDOMを操作することができる。DOMの操作によって、スクリプト実行を無効に設定した場合でも、スクリプトの実行が可能になる。

◆情報ソース：
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm005-ie/ ), April 08,2002
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm006-ie/ ), April 08,2002
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm007-ie/ ), April 08,2002
・ GreyMagic Software ( http://sec.greymagic.com/adv/gm008-ie/ ), April 08,2002
・ NTBugtraq (Russ Cooper, russ.cooper@rc.on.ca ), April 08, 2002

◆分析：
　(iDEFENSE 米国) 攻撃者は、最初の3つの脆弱性を利用して、ターゲットコンピューター上のファイルの有無を確認できる。この情報を活用して、ターゲットコンピューターに更なる攻撃を仕掛ける可能性がある。4つ目の脆弱性では、クリップボードをモニターしてその結果を全て記録できるほか、クリップボードにデータを挿入できる可能性もある。5つ目の脆弱性では、ターゲットコンピューター上のファイルを読むことができる。最後のバグは、ターゲットユーザーのコンピューター上でのスクリプトコードの実行を可能にする。

　いずれのケースでも、Office XPがターゲットコンピューターにインストールされている場合を除き、
http://download.microsoft.com/download/officexpstandard/owc10/2/w98nt42kme/en-us/owc10.exe

で提供されているOWC ビューイングツールを、脆弱性の影響を受ける前にインストールする必要がある。攻撃者がターゲットユーザーに電子メールを送信する可能性が高いが、このメールは埋め込まれたリンクをユーザーにクリックさせるように仕組まれている。ウェブページが開くと、OWC ビューイングツールがインストールされる場合とインストールされない場合があり、その結果によって攻撃発生の有無が決まることになる。

◆検知方法：
　第一の脆弱性はOWC 9および10、第二の脆弱性はOWC 10、第三の脆弱性はOWC 10、第四の脆弱性はOWC 9および10、第五の脆弱性はOWC 9および10、第六の脆弱性はOWC 10にそれぞれ影響する。

◆暫定処置：
　「ActiveXコントロールとプラグインの実行」を無効にする。IE 6.0には、管理者が承認したActiveXコントロールのリストを作成する機能がある。管理者は、この機能を利用してスクリプトするコントロールを制限できる。これを全てのゾーンに適用すると、前述のほとんどの脆弱性に対応できる。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【16:32 GMT、04、09、2002】