マイクロソフトは7月12日,WindowsやMicrosoft Officeなどのセキュリティ情報と修正パッチ(セキュリティ更新プログラム)を7件公表した。6月中に公表されたExcelのセキュリティ・ホールを修正するパッチも含まれる。セキュリティ・ホールの最大深刻度は最悪の「緊急」なので,早急に修正パッチを適用したい。
【7月12日訂正】当初,セキュリティ情報と修正パッチの公開日を7月14日と記述しましたが,7月12日の誤りです。訂正してお詫びいたします。【以上,7月12日訂正】
今回公開されたセキュリティ情報は,7月7日の予告どおりに7件。Windowsに関する情報が4件,Officeに関する情報が3件公開された(関連記事:7月のセキュリティ情報は7件)。そのうち,最大深刻度が「緊急」に設定されているのは以下の5件。
(1)Serverサービスの脆弱性により,リモートでコードが実行される (917159) (MS06-035)
(2)DHCP クライアント サービスの脆弱性により,リモートでコードが実行される (914388) (MS06-036)
(3)Microsoft Excel の脆弱性により,リモートでコードが実行される (917285) (MS06-037)
(4)Microsoft Office の脆弱性により,リモートでコードが実行される (917284) (MS06-038)
(5)Microsoft Office フィルタの脆弱性により,リモートでコードが実行される (915384) (MS06-039)
(1)はWindowsのServerサービスに関するセキュリティ・ホール。Serverサービスにはバッファ・オーバーフローのセキュリティ・ホールが存在するため,細工が施されたデータ(パケット)を送信されるだけで,Windowsが不正終了したり,データに含まれる任意のプログラムを実行される恐れがある。
影響を受けるのは,Windows 2000/XP/Server 2003。最大深刻度は,いずれについても「緊急」。Windows 98/98SE/Meは影響を受けない。
(2)はWindowsに含まれるDHCPクライアント サービスに関するセキュリティ・ホール。DHCPクライアント サービスにバッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,DHCPクライアント サービスのDHCPリクエストの応答として細工が施されたデータを送信されると,任意のプログラムを実行される恐れがある。その結果,攻撃者にマシンを乗っ取られる可能性がある。ただし,一般的なネットワーク構成ではDHCPをサブネット外へ転送しないので,攻撃者は攻撃対象マシンと同じサブネットにいる必要がある。
影響を受けるのは,Windows 2000/XP/Server 2003。最大深刻度は,いずれについても「緊急」。Windows 98/98SE/Meにはセキュリティ・ホールが見つかったコンポーネントが含まれていないので,影響を受けない。
(3)はExcelに関するセキュリティ情報。このセキュリティ情報には,Excelが影響を受けるセキュリティ・ホール(脆弱性)が8件含まれる。いずれについても,細工が施された文書ファイルを開くだけで,ファイルに仕込まれた任意のプログラムを実行される危険なセキュリティ・ホールである。
影響を受けるのは,Excel 2000,Excel 2002,Excel 2003,Excel Viewer 2003,Excel 2004 for Mac,Excel v. X for Mac。Excel 2000(Office 2000)では,文書を開く際に,「開く」や「保存」,「キャンセル」を確認するダイアログが表示されないため,被害に遭う危険性が高い。このため,Excel 2000の深刻度は「緊急」に設定されている。それ以外のExcelについては,深刻度は「重要」。
(3)に含まれるセキュリティ・ホールのうち,「Microsoft Excelの不正な形式のファイルの脆弱性 - CVE-2006-3059」については,このセキュリティ・ホールを突いた攻撃が6月中旬に確認されている(関連記事:Excelにパッチ未公開のセキュリティ・ホール)。マイクロソフトでは6月20日にセキュリティ・ホールの概要と回避策を公開(関連記事:マイクロソフトが回避策を公表)。当初は7月の定例公開日(7月12日)を待たずにパッチをリリースする可能性があるとしていたが,結局,7月12日に公開された。
なお,Excel関連のパッチ未公開セキュリティ・ホールは,これ以外にも2件明らかにされているが,それらの修正パッチについては公開されなかった(関連記事1:Windowsにパッチ未公開のセキュリティ・ホール,Excelが影響を受ける,関連記事2:日本語版Excelに新たなセキュリティ・ホール)。
(4)は,Microsoft Office製品に関するセキュリティ・ホール。Officeに含まれるソフトウエアすべて(Excel,Word,PowerPoint,Outlookなど)が影響を受ける。(4)に含まれるセキュリティ・ホールは3件。いずれについても,細工が施されたファイルを開くだけで,任意のプログラムを実行される恐れがある。
影響を受けるのは,Office 2000/XP/2003,Office 2004 for MacまたはOffice v. X for Mac。Office 2000についてはファイルを開く際に警告ダイアログが表示されないので,(3)と同様に,Office 2000の深刻度は「緊急」,それ以外については「重要」である。なお,Works Suite 2004/2005/2006(日本語版は存在しない)は影響を受けない。
(5)は,Microsoft Office製品の画像ファイルの取り扱いに関するセキュリティ・ホール。細工が施された画像ファイル(PNGおよびGIF)を読み込むと,メモリー破壊が発生し,ファイルに仕込まれた任意のプログラムを実行される恐れがある。悪質な画像ファイルが含まれる文書ファイルを開くだけで被害に遭う可能性がある。
影響を受けるのは,Office 2000/XP/2003,Works Suites 2004/2005/2006など。Mac版(Office 2004 for Mac,Office v. X for Mac)は影響を受けない。最大深刻度はOffice 2000が「緊急」で,それ以外については「重要」。
最大深刻度が「重要」に設定されているのは以下の2件。
(6)ASP.NET の脆弱性により,情報漏えいが起こる (917283) (MS06-033)
(7)Active Server Pages を使用した Internet Information Services (IIS) の脆弱性により,リモートでコードが実行される (917537) (MS06-034)
(6)はNET Framework 2.0,(7)はWebサーバー・ソフト(サービス)のInternet Information Services(IIS)に関するセキュリティ・ホール。いずれについても,IISを稼働させているWindowsマシンのみが,セキュリティ・ホールを突いた攻撃を受ける可能性がある。攻撃を受けると,閲覧を許可していない情報を取得されたり,マシン上で任意のプログラムを実行されたりする恐れがある。
いずれのセキュリティ・ホールについても,対策は,同日リリースされた修正パッチを適用すること。「Microsoft Update」から適用できる。自動更新機能を有効にしていれば自動的に適用される。また,Windowsのパッチについては「Windows Update」から,Office用パッチは「Office のアップデート」からも適用可能。加えて,それぞれのセキュリティ情報のページ(ダウンロードセンター)からもパッチを入手できる。(3)および(4)のMac用パッチについては,セキュリティ情報のページからのみ入手可能。
なお,Windows 98/98SE/Meのセキュリティ・パッチが提供されるのは今回が最後とされていたが,今回はWindows 98/98SE/Meが影響を受けるセキュリティ情報は公開されなかったため,パッチは提供されなかった(関連記事:Windows 98/Meの緊急パッチは7月が最後)。
マイクロソフトは同日,ウイルスなどを検出駆除する無償ツール「悪意のあるソフトウエアの削除ツール」の新版も公開した。新版では,「Alemod」「Chir」「Hupigon」「Nsag」に対応した。同ツールを利用できるのは,Windows 2000/XP/Server 2003。ダウンロードセンターやMicrosoft Updateから入手できる。Windows XPとServer 2003 SP1については「Windows Update」からも適用可能。
