MS09-046とOffice 2000

メモ

サポートが切れたOffice2000を使っても大丈夫かどうか、せっかく調べたので載せておく。

結論からいうと「Office 2000を使っていても脆弱性の影響を受けない。」

調べた結果:

  1. Office 2000のライブラリは脆弱*1
  2. でも、MS Updateで自動的にkillbitが立てられる*2

だから、IEからMSOWC.DLLのActiveXが呼ばれることはないです。
ちゃんと、アップデートしていることが前提。要するにちゃんとパッチを当てましょう!ってこと。

*1:Office 2000のOWC 2000とOffice XP用 OWC2000とバイナリ差分の有無で判断しました

*2:MS08-017の対応としてkillbitが立てられてます http://www.microsoft.com/japan/technet/security/advisory/956391.mspx

おまけ おまけ

killbitチェックはMSから配布されているClassIDを使うと便利*1
使い方は classid.exe {CLSID} で、該当するCLSIDのセキュリティチェックを表示

C:\>ClassId.exe {0002E541-0000-0000-C000-000000000046} (*)
Clsid: {0002E541-0000-0000-C000-000000000046}
Progid: OWC10.Spreadsheet.10
Binary Path: C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
Implements IObjectSafety: True
Safe For Initialization (IObjectSafety): True --- IE will allow loading
Safe For Scripting (IObjectSafety): True   --- IE will allow scripting
Safe For Initialization (Registry): False
Safe For Scripting (Registry): False
KillBitted: False --- It is not killbitted

といっても、CLSIDがわからないと意味ないんだけどねw
そこはregeditからstring検索かな

*1:http://blogs.technet.com/srd/archive/2008/02/03/activex-controls.aspx