Trusted DesignCVE-2009-0238 の詳細
CVEの情報
説明:
Microsoft Office Excel 2000 SP3, 2002 SP3, 2003 SP3, and 2007 SP1; Excel Viewer 2003 Gold and SP3; Excel Viewer; Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP1; and Excel in Microsoft Office 2004 and 2008 for Mac allow remote attackers to execute arbitrary code via a crafted Excel document that triggers an access attempt on an invalid object, as exploited in the wild in February 2009 by Trojan.Mdropper.AC.
CVE更新日: 2009-02-25 16:30:00.343000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2026-04-14
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.728600000
EPSS更新日: 2026-06-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE‑2009‑0238 調査結果
1. 脆弱性の概要
Microsoft Excel に存在するメモリ破損(Memory Corruption)による任意コード実行(RCE)脆弱性。
細工された Excel ファイル(.xls)を開くとExcel のメモリ処理に不備が発生し、攻撃者がユーザー権限で任意コードを実行可能となる。
この脆弱性は Microsoft のセキュリティ更新 MS09‑009 に含まれている。
1.1 影響
1.2 深刻度
CVSS 2.0(NVD)
※ 当時は CVSSv2 のみ。
2. 対象となる環境
2.1 影響バージョン
MS09‑009 より:
2.2 影響を受ける設定
3. 侵害の兆候(IOC)
※公式 IOC はなし(2009 年当時のため限定的)
脆弱性の性質から発生し得る事実ベースの兆候:
4. 推奨対策
4.1 恒久対策(公式修正)
Microsoft MS09‑009 より:
4.2 暫定回避策(ワークアラウンド)
(一次情報ベース)
参照サイト(一次情報)
NVD – CVE‑2009‑0238
Microsoft Security Bulletin MS09‑009
CVE.org – CVE‑2009‑0238