製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Microsoft 製品の MSCOMCTL.OCX の ActiveX における任意のコードを実行される脆弱性

タイトル	複数の Microsoft 製品の MSCOMCTL.OCX の ActiveX における任意のコードを実行される脆弱性
概要	複数の Microsoft 製品で利用されるコモンコントロール内の MSCOMCTL.OCX の (1) ListView、(2) ListView2、(3) TreeView、および (4) TreeView2 ActiveX コントロールには、任意のコードを実行される脆弱性が存在します。
想定される影響	第三者により、巧妙に細工された (a) Web サイト、(b) Office ドキュメント、または (c) .rtf ファイルを介して、任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年4月10日0:00
登録日	2012年4月12日14:11
最終更新日	2015年5月11日15:58

CVSS2.0 : 危険
スコア	9.3
ベクター	AV:N/AC:M/Au:N/C:C/I:C/A:C

影響を受けるシステム

マイクロソフト

Microsoft BizTalk Server 2002 SP1

Microsoft Commerce Server 2002 SP4

Microsoft Commerce Server 2007 SP2

Microsoft Commerce Server 2009

Microsoft Commerce Server 2009 R2

Microsoft Office 2003 SP3

Microsoft Office 2003 Web コンポーネント SP3

Microsoft Office 2007 SP2

Microsoft Office 2007 SP3

Microsoft Office 2010 (32ビット版)

Microsoft Office 2010 SP1 (32ビット版)

Microsoft SQL Server 2000 Analysis Services SP4

Microsoft SQL Server 2000 SP4

Microsoft SQL Server 2005 Express Edition with Advanced Services SP4

Microsoft SQL Server 2005 for 32-bit Systems SP4

Microsoft SQL Server 2005 for Itanium-based Systems SP4

Microsoft SQL Server 2005 for x64-based Systems SP4

Microsoft SQL Server 2008 for 32-bit Systems SP2

Microsoft SQL Server 2008 for 32-bit Systems SP3

Microsoft SQL Server 2008 for Itanium-based Systems SP2

Microsoft SQL Server 2008 for Itanium-based Systems SP3

Microsoft SQL Server 2008 for x64-based Systems SP2

Microsoft SQL Server 2008 for x64-based Systems SP3

Microsoft SQL Server 2008 R2 for 32-bit Systems SP1 以前

Microsoft SQL Server 2008 R2 for Itanium-based Systems SP1 以前

Microsoft SQL Server 2008 R2 for x64-based Systems SP1 以前

Microsoft Visual Basic 6.0 ランタイム

Microsoft Visual FoxPro 8.0 SP1

Microsoft Visual FoxPro 9.0 SP2

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-0158	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0158
National Vulnerability Database (NVD)
2	CVE-2012-0158	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0158

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS12-027	http://technet.microsoft.com/en-us/security/bulletin/ms12-027
マイクロソフトセキュリティ情報
2	MS12-027	http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027
富士通セキュリティ情報
3	TA12-101A	http://software.fujitsu.com/jp/security/vulnerabilities/ta12-101a.html

その他

No	名前	URL
IPA 緊急対策情報
1	20120411-Windows	http://www.ipa.go.jp/security/ciadr/vul/20120411-Windows.html
JPCERT 緊急報告
2	JPCERT-AT-2012-0012	http://www.jpcert.or.jp/at/2012/at120012.txt
JVN
3	JVNTA#99041988	http://jvn.jp/ta/JVNTA99041988/
4	JVNTA12-101A	http://jvn.jp/cert/JVNTA12-101A
US-CERT Technical Cyber Security Alert
5	TA12-101A	http://www.us-cert.gov/cas/techalerts/TA12-101A.html
6	TA15-119A	https://www.us-cert.gov/ncas/alerts/TA15-119A
警察庁 @police
7	マイクロソフト社のセキュリティ修正プログラムについて(MS12-023,024,025,026,027,028)(2012年04月11日)	http://www.npa.go.jp/cyberpolice/#topics

変更履歴

No	変更内容	変更日
0	[2012年04月12日] 掲載 [2012年04月16日] ベンダ情報：富士通 (TA12-101A) を追加 [2012年12月19日] 影響を受けるシステム：マイクロソフト (MS12-027) の情報を更新 [2015年05月11日] 参考情報：JVN (JVNTA#99041988) を追加参考情報：US-CERT Technical Cyber Security Alert (TA15-119A) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-0158

概要	The (1) ListView, (2) ListView2, (3) TreeView, and (4) TreeView2 ActiveX controls in MSCOMCTL.OCX in the Common Controls in Microsoft Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, and 2008 SP2, SP3, and R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, and 2009 Gold and R2; Visual FoxPro 8.0 SP1 and 9.0 SP2; and Visual Basic 6.0 Runtime allow remote attackers to execute arbitrary code via a crafted (a) web site, (b) Office document, or (c) .rtf file that triggers "system state" corruption, as exploited in the wild in April 2012, aka "MSCOMCTL.OCX RCE Vulnerability."
概要	Los controles ActiveX (1) ListView, (2) ListView2, (3) TreeView, y (4) TreeView2 en MSCOMCTL.OCX en the Common Controls en Microsoft Office 2003 SP3, 2007 SP2 y SP3, y 2010 Gold y SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, y 2008 SP2, SP3, y R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, y 2009 Gold y R2; Visual FoxPro 8.0 SP1 y 9.0 SP2; y Visual Basic 6.0 Runtime permita a atacantes remotos ejecutar código a través de la manipulación de: (a) sitios web, (b) documento de Office, o (c) fichero .rtf que provoca una corrupción "system state", como la explotada en April del 2012, también conocida como vulnerabilidad "MSCOMCTL.OCX RCE".
公表日	2012年4月11日6:55
登録日	2021年1月28日14:52
最終更新日	2026年4月22日19:36

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:office:2003:sp3::::::
cpe:2.3:a:microsoft:office:2007:sp2::::::
cpe:2.3:a:microsoft:office:2007:sp3::::::
cpe:2.3:a:microsoft:office:2010:-:::::x86:*
cpe:2.3:a:microsoft:office:2010:sp1:::::x86:*
cpe:2.3:a:microsoft:office_web_components:2003:sp3::::::
cpe:2.3:a:microsoft:sql_server_2000:-:sp4::::::
cpe:2.3:a:microsoft:sql_server_2005:-:sp4::::::
cpe:2.3:a:microsoft:sql_server_2008:-:sp2::::::
cpe:2.3:a:microsoft:sql_server_2008:-:sp3::::::
cpe:2.3:a:microsoft:sql_server_2008:r2:-::::::
cpe:2.3:a:microsoft:sql_server_2008:r2:sp1::::::
cpe:2.3:a:microsoft:biztalk_server:2002:sp1::::::
cpe:2.3:a:microsoft:commerce_server:2002:sp4::::::
cpe:2.3:a:microsoft:commerce_server:2007:sp2::::::
cpe:2.3:a:microsoft:commerce_server_2009:-:::::::*
cpe:2.3:a:microsoft:commerce_server_2009:r2:::::::*
cpe:2.3:a:microsoft:visual_basic:6.0:::::::*
cpe:2.3:a:microsoft:visual_foxpro:8.0:sp1::::::
cpe:2.3:a:microsoft:visual_foxpro:9.0:sp2::::::

関連情報、対策とツール

No	URL	refsource
1	http://opensources.info/comment-on-the-curious-case-of-a-cve-2012-0158-exploit-by-chris-pierce/	secure@microsoft.com
2	http://www.securityfocus.com/bid/52911	secure@microsoft.com
3	http://www.securitytracker.com/id?1026899	secure@microsoft.com
4	http://www.securitytracker.com/id?1026900	secure@microsoft.com
5	http://www.securitytracker.com/id?1026902	secure@microsoft.com
6	http://www.securitytracker.com/id?1026903	secure@microsoft.com
7	http://www.securitytracker.com/id?1026904	secure@microsoft.com
8	http://www.securitytracker.com/id?1026905	secure@microsoft.com
9	http://www.us-cert.gov/cas/techalerts/TA12-101A.html	secure@microsoft.com
10	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027	secure@microsoft.com
11	https://exchange.xforce.ibmcloud.com/vulnerabilities/74372	secure@microsoft.com
12	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A15462	secure@microsoft.com
13	http://opensources.info/comment-on-the-curious-case-of-a-cve-2012-0158-exploit-by-chris-pierce/	af854a3a-2127-422b-91ae-364da2661108
14	http://www.securityfocus.com/bid/52911	af854a3a-2127-422b-91ae-364da2661108
15	http://www.securitytracker.com/id?1026899	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securitytracker.com/id?1026900	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securitytracker.com/id?1026902	af854a3a-2127-422b-91ae-364da2661108
18	http://www.securitytracker.com/id?1026903	af854a3a-2127-422b-91ae-364da2661108
19	http://www.securitytracker.com/id?1026904	af854a3a-2127-422b-91ae-364da2661108
20	http://www.securitytracker.com/id?1026905	af854a3a-2127-422b-91ae-364da2661108
21	http://www.us-cert.gov/cas/techalerts/TA12-101A.html	af854a3a-2127-422b-91ae-364da2661108
22	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027	af854a3a-2127-422b-91ae-364da2661108
23	https://exchange.xforce.ibmcloud.com/vulnerabilities/74372	af854a3a-2127-422b-91ae-364da2661108
24	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A15462	af854a3a-2127-422b-91ae-364da2661108
25	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2012-0158	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:office:2003:sp3::::::
cpe:2.3:a:microsoft:office:2007:sp2::::::
cpe:2.3:a:microsoft:office:2007:sp3::::::
cpe:2.3:a:microsoft:office:2010:-:::::x86:*
cpe:2.3:a:microsoft:office:2010:sp1:::::x86:*
cpe:2.3:a:microsoft:office_web_components:2003:sp3::::::
cpe:2.3:a:microsoft:sql_server_2000:-:sp4::::::
cpe:2.3:a:microsoft:sql_server_2005:-:sp4::::::
cpe:2.3:a:microsoft:sql_server_2008:-:sp2::::::
cpe:2.3:a:microsoft:sql_server_2008:-:sp3::::::
cpe:2.3:a:microsoft:sql_server_2008:r2:-::::::
cpe:2.3:a:microsoft:sql_server_2008:r2:sp1::::::
cpe:2.3:a:microsoft:biztalk_server:2002:sp1::::::
cpe:2.3:a:microsoft:commerce_server:2002:sp4::::::
cpe:2.3:a:microsoft:commerce_server:2007:sp2::::::
cpe:2.3:a:microsoft:commerce_server_2009:-:::::::*
cpe:2.3:a:microsoft:commerce_server_2009:r2:::::::*
cpe:2.3:a:microsoft:visual_basic:6.0:::::::*
cpe:2.3:a:microsoft:visual_foxpro:8.0:sp1::::::
cpe:2.3:a:microsoft:visual_foxpro:9.0:sp2::::::