| Summary | The TabStrip ActiveX control in the Common Controls in MSCOMCTL.OCX in Microsoft Office 2003 SP3, Office 2003 Web Components SP3, Office 2007 SP2 and SP3, Office 2010 SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2, SP3, R2, R2 SP1, and R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Gold and R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, and Visual Basic 6.0 Runtime allows remote attackers to execute arbitrary code via a crafted (1) document or (2) web page that triggers system-state corruption, aka "MSCOMCTL.OCX RCE Vulnerability." |
|---|---|
| Summary | El control TabStrip ActiveX en Common Controls en MSCOMCTL.OCX en Microsoft Office 2003 SP3, Office 2003 Web Components SP3, Office 2007 SP2 y SP3, Office 2010 SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2, SP3, R2, R2 SP1, y R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Gold and R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, y Visual Basic 6.0 Runtime permite a atacantes remotos ejecutar código de su elección a través de (1) un documento o (2) página web que provoca una corrupción del estado del sistema, también conocido como 'MSCOMCTL.OCX RCE Vulnerability.' |
| Publication Date | Aug. 15, 2012, 10:55 a.m. |
| Registration Date | Jan. 28, 2021, 2:56 p.m. |
| Last Update | April 23, 2026, 1:48 a.m. |
| CVSS3.1 : HIGH | |
| スコア | 8.8 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : HIGH | |
| Score | 9.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:C/I:C/A:C |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:microsoft:commerce_server:2002:sp4:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:commerce_server:2007:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:commerce_server:2009:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:commerce_server:2009:r2:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:host_integration_server:2004:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:office:2003:sp3:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:office:2007:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:office:2007:sp3:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:office:2010:sp1:x86:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:office_web_components:2003:sp3:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2000:sp4:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2000:sp4:analysis_services:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2005:sp3:express_advanced_services:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2005:sp4:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2008:r2_sp1:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2008:r2_sp2:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2008:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sql_server:2008:sp3:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_basic:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_foxpro:8.0:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_foxpro:9.0:sp2:*:*:*:*:*:* | |||||
| Title | 複数の Microsoft 製品の MSCOMCTL.OCX における任意のコードを実行される脆弱性 |
|---|---|
| Summary | 複数の Microsoft 製品の MSCOMCTL.OCX 内のコモンコントロールの TabStrip ActiveX コントロールには、任意のコードを実行される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「MSCOMCTL.OCX の RCE の脆弱性」と記載されています。 |
| Possible impacts | 第三者により、システム状態の破損を誘発する巧妙に細工された (1) ドキュメント、または (2) Web ページを介して、任意のコードを実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Aug. 14, 2012, midnight |
| Registration Date | Aug. 16, 2012, 12:32 p.m. |
| Last Update | May 11, 2015, 3:59 p.m. |
| マイクロソフト |
| Microsoft Commerce Server 2002 SP4 |
| Microsoft Commerce Server 2007 SP2 |
| Microsoft Commerce Server 2009 および 2009 R2 |
| Microsoft Host Integration Server 2004 SP1 |
| Microsoft Office 2003 SP3 |
| Microsoft Office 2003 Web コンポーネント SP3 |
| Microsoft Office 2007 SP2 および SP3 |
| Microsoft Office 2010 SP1 (32 ビット版) |
| Microsoft SQL Server 2000 Analysis Services SP4 |
| Microsoft SQL Server 2000 SP4 |
| Microsoft SQL Server 2005 Express Edition with Advanced Services SP4 |
| Microsoft SQL Server 2005 for 32-bit Systems SP4 |
| Microsoft SQL Server 2005 for Itanium-based Systems SP4 |
| Microsoft SQL Server 2005 for x64-based Systems SP4 |
| Microsoft SQL Server 2008 for 32-bit Systems SP2 および SP3 |
| Microsoft SQL Server 2008 for Itanium-based Systems SP2 および SP3 |
| Microsoft SQL Server 2008 for x64-based Systems SP2 および SP3 |
| Microsoft SQL Server 2008 R2 for 32-bit Systems SP2 以前 |
| Microsoft SQL Server 2008 R2 for Itanium-based Systems SP2 以前 |
| Microsoft SQL Server 2008 R2 for x64-based Systems SP2 以前 |
| Microsoft Visual Basic 6.0 ランタイム |
| Microsoft Visual FoxPro 8.0 SP1 |
| Microsoft Visual FoxPro 9.0 SP2 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年08月16日] 掲載 [2012年08月21日] ベンダ情報:富士通 (TA12-227A) を追加 [2015年05月11日] 参考情報:JVN (JVNTA#99041988) を追加 参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加 |
Feb. 17, 2018, 10:37 a.m. |