WindowsやOfficeに危険なセキュリティ・ホール，Microsoft Updateの実施を

ITPro

2006.01.11

　マイクロソフトは1月11日，WindowsやMicrosoft Officeなどに関するセキュリティ情報を2件公表した。いずれも，細工が施されたWebページやファイルを開くだけで悪質なプログラム（例えばウイルス）を実行する恐れがある危険なセキュリティ・ホールである。最大深刻度は最悪の「緊急」。対策は更新プログラム（修正パッチ）を適用すること。「Microsoft Update」などから適用できる。

　1月6日の予告どおり，今回公開されたセキュリティ情報は以下の2件（関連記事）。12月末に第三者によって公表されたWindowsメタファイル（WMF）に関するセキュリティ情報も今回公開される予定だったが（関連記事），攻撃プログラムが公表され実害が出ていたために前倒しでリリースされた（関連記事）。

（1）埋め込みWebフォントの脆弱性により，リモートでコードが実行される（908519）（MS06-002）

（2）Microsoft OutlookおよびMicrosoft Exchange のTNEFデコードの脆弱性により，リモートでコードが実行される（902412）（MS06-003）

　（1）は，埋め込みWebフォントの処理に関するセキュリティ・ホール。埋め込みWebフォントとは，Webページ（HTMLファイル）の作者が意図するフォントをそのページ中に表示させるための技術（マイクロソフトの技術情報）。CSSで表示させたいフォントを指定すると，Webブラウザ（Internet Explorer：IE）が自動的にフォント・ファイルをダウンロードして表示する。

　Windowsが埋め込みWebフォントを処理する過程において，割り当てたバッファにデータを格納する際，そのデータの長さを検証しないというセキュリティ・ホールが今回見つかった。このため，細工が施された埋め込みWebフォントを処理しようとするとメモリー破壊が発生して，フォント・データに仕込まれた任意のプログラムを実行する可能性がある。

　つまり，細工が施された埋め込みWebフォントを読み込ませるようなWebページやHTMLメール（HTMLファイル）を開くと，悪質なプログラムを実行させられてパソコンを乗っ取られる恐れがある。

　（1）については，すべてのWindows（Windows 98／98SE／Me／2000／XP／Server 2003）が影響を受ける。Windows XP SP2やWindows Server 2003 SP1も影響を受ける。影響の大きさを示す深刻度は「緊急」。ただし，Windows Server 2003／Server 2003 SP1については上から2番目の「重要」。Windows Server 2003のOutlook Expressはデフォルトでメッセージの読み取りおよび送信にテキスト形式を使用するため，HTMLメールを使った攻撃を受けないためである（ただし，メール中のリンクをクリックするなどして悪質なWebページにアクセスした場合には被害を受ける）。

　（2）は，Exchange ServerおよびOfficeのOutlookが影響を受けるセキュリティ・ホール。Transport Neutral Encapsulation Format（TNEF）添付ファイルを処理するプログラムに未チェックのバッファが見つかった。このため，細工が施されたTNEF添付ファイルをExchange Serverで処理する，あるいはOutlookで開く／プレビュすると，ファイルに仕込まれた任意のプログラムを実行させられる可能性がある。

　なおTNEFとは，リッチ・テキスト形式（RTF）のメッセージを送信する際に，Exchange ServerおよびOutlookで使用されるフォーマットのこと。

　（2）の影響を受けるのは，Office 2000（Outlook 2000）／Office XP（Outlook 2002）／Office 2003（Outlook 2003）およびExchange Server 5.0／5.5，Exchange 2000 Server。いずれも深刻度は「緊急」。Exchange Server 2003は影響を受けない。

　対策は修正パッチを適用すること。Microsoft Updateから適用できる。自動更新機能を有効にしていれば自動的に適用される。また，（1）のパッチについては「Windows Update」から，（2）については「Office のアップデート」からも適用可能。加えて，それぞれのセキュリティ情報のページからもパッチをダウンロードできる。

　なお，（1）のWindows 98／98SE／Me用パッチについては，Windows Updateからしか適用できない。また，（2）については適用している言語パッケージによってパッチが異なるので要注意。（1）および（2）のいずれのパッチについても，適用後にマシンの再起動を必要とする場合がある。

　すぐにパッチを適用できない環境では回避策を実施する。（2）の回避策は，「メールをテキスト形式で表示する（HTML形式で表示させない）」「インターネットおよびイントラネットゾーンで，フォントのダウンロードを『ダイアログを表示する，または無効にする』に設定する」こと。

　後者については，IEの「ツール」メニューから選択できる「インターネットオプション」の「セキュリティ」タブで表示される「レベルのカスタマイズ」をクリックする。そして，その「設定」メニュー中の「ダウンロード」セクション中の「フォントのダウンロード」で「無効にする」を選択すれば，悪意のある埋め込みWebフォントを読むことを防げる（詳細はセキュリティ情報の『Windowsの埋め込みWebフォントの脆弱性』の回避策」の項を参照のこと）。

　（3）の回避策は，Exchange ServerでTNEF添付ファイルをブロックすることなど（詳細はセキュリティ情報の「『TNFFデコードの脆弱性』の回避策」の項を参照のこと）。ただしこの回避策を実施すると，RTFのメールを正しく受信できなくなる。

　マイクロソフトは同日，ウイルスなどを検出駆除する無償ツール「悪意のあるソフトウエアの削除ツール」の新版も公開した。新版では，「Bofra」や「Maslan」，「Partie」に対応した。対象OSは，Windows 2000／XP／Server 2003。ダウンロードセンターやMicrosoft Updateから入手できる。Windows XPとServer 2003 SP1についてはWindows Updateからも適用可能。

◎参考資料
◆2006年1月のセキュリティ情報
◆埋め込みWebフォントの脆弱性により，リモートでコードが実行される（908519）（MS06-002）
◆Microsoft OutlookおよびMicrosoft Exchange のTNEFデコードの脆弱性により，リモートでコードが実行される（902412）（MS06-003）