「緊急」が6件---マイクロソフトがWindowsやOfficeなどの修正プログラムを公開

日経パソコン

2007.02.14

　マイクロソフトは2月14日、同社のWindowsやMicrosoft Office、Internet Explorer（IE）、Windows Defenderなどに関するセキュリティ情報を12件公開するとともに、修正プログラム（セキュリティ更新プログラム）の提供を開始した。このうち6件には、同社の定めた4段階の「深刻度」の中でもっとも危険な「緊急」のぜい弱性が含まれ、そのうち2件については、ぜい弱性を悪用した攻撃が確認されている。このためマイクロソフトでは、できるだけ早急に修正プログラムを適用するよう呼びかけている。

　「緊急」の1件目は、「HTML ヘルプの ActiveX コントロールの脆弱性により、リモートでコードが実行される (928843) (MS07-008)」。Windows 2000／XP／Server 2003が対象。これらに含まれる「HTMLヘルプ」のActiveXコントロールには、入力データを適切にチェックしないぜい弱性が存在する。このため、このActiveXコントロールを呼び出すような、細工が施されたWebページにIEなどでアクセスすると、悪質なプログラムを勝手に実行される恐れがある。Windows Vistaは影響を受けない。

　2件目は、「Microsoft Data Access Components の脆弱性により、リモートでコードが実行される (927779) (MS07-009)」。これは、Windows 2000／XP／Server 2003に含まれる、データベースにアクセスするためのプログラム集「Microsoft Data Access Components（MDAC）」に関するぜい弱性。MDACに含まれる「ADODB.Connection」と呼ばれるActiveXコントロールには、細工が施されたデータを渡されると、ユーザーが意図していないプログラムを実行してしまう危険性がある。このため、悪意のあるWebページにアクセスすると、ウイルスなどを実行される恐れがある。MDAC 2.8 SP2や、VistaにインストールされているMDAC 6.0は影響を受けない。

　3件目の「Microsoft Malware Protection Engine の脆弱性により、リモートでコードが実行される (932135)(MS07-010)」は、Windows DefenderやMicrosoft Forefront Security、Microsoft Antigen、Windows Live OneCareといったセキュリティソフトが影響を受けるぜい弱性。ウイルスなどを検出するためにこれらに含まれる「Microsoft Malware Protection Engine」のPDFファイル解析方法に不具合が見つかった。このため、細工が施されたPDFファイルをウイルスチェックのために読み込むと、ファイルに仕込まれた悪質なプログラムを実行される危険性がある。

　4件目は、Word 2000／2002／2003およびOffice 2004 for Macが対象の「Microsoft Word の脆弱性により、リモートでコードが実行される (929434) (MS07-014)」。細工が施されたWord文書を開くだけで、中に仕込まれた悪質なプログラムを実行されるぜい弱性が複数含まれる。実際、このぜい弱性を悪用する攻撃（文書ファイル）が2006年12月および2007年1月に確認されている。このためマイクロソフトは、「セキュリティアドバイザリ」を公開して注意を呼びかけていた。そのぜい弱性に関するセキュリティ情報と修正プログラムが、今回やっと公開された。

　5件目は、「Microsoft Office の脆弱性により、リモートでコードが実行される (932554) (MS07-015)」。Office 2000／XP／2003、Project 2000／2002、Visio 2002、Office 2004 for Macが影響を受けるぜい弱性。細工が施された文書ファイルを開くだけで、悪質なプログラムを実行されてしまう。これについても、ぜい弱性を悪用する攻撃が確認されており、マイクロソフトは2月3日、注意喚起のセキュリティアドバイザリを公開している（関連記事）。

　6件目は、「Internet Explorer 用の累積的なセキュリティ更新プログラム (928090) (MS07-016)」。IE 5.01／6／7に、新たに3種類のぜい弱性が見つかった。このため、細工が施されたWebページやFTPサーバーにアクセスすると、攻撃者が意図したプログラムをパソコン上で実行される恐れがある。Windows Vista上のIE 7は影響を受けない。

　そのほか、深刻度が上から2番目の「重要」に設定されたセキュリティ情報が6件公開された。それぞれ、以下の点に関するぜい弱性である。（1）［MS07-005］Windows 2000／XP／Server 2003上の「ステップバイステップの対話型トレーニング」、（2）［MS07-006］Windows XP／Server 2003のWindows シェル、（3）［MS07-007］Windows XPの「Window Image Acquisition」サービス、（4）［MS07-011］Windows 2000／XP／Server 2003に含まれるOLEダイアログのコンポーネント、（5）［MS07-012］Windows 2000／XP／Server 2003および Visual Studio .NET 2002／2003で提供されているMFCコンポーネント、（6）［MS07-013］Windows 2000／XP／Server 2003およびOffice 2000／XP／2003などで提供されているリッチエディットのコンポーネント。いずれも、悪用されると、悪質なプログラムを実行されたり、ユーザーの権限昇格を許したりする恐れがある。

　対策は修正プログラムをインストールすること。「Microsoft Update」から適用できる。自動更新機能を有効にしていれば自動的に適用される。Office製品に関する修正プログラムについては「Office のアップデート」から、Windowsに関する修正プログラムについては「Windows Update」からも適用可能。それぞれのセキュリティ情報のページ（ダウンロードセンター）からも修正プログラムをダウンロードできる。Mac版Office用の修正プログラムについては、セキュリティ情報のページからのみ入手可能。