マイクロソフトは2007年5月9日、WindowsやInternet Explorer(IE)、「Office」などのぜい弱性(セキュリティホール)に関する情報を7件公開した。ぜい弱性の最大深刻度(危険度)はいずれも最悪の「緊急」。細工が施されたWebページや文書ファイルを開くだけで、悪質なプログラム(ウイルス)を実行される危険性がある。既に悪用が確認されているぜい弱性もある。このため同社製品のユーザーは、すぐにセキュリティ更新プログラム(修正パッチ)を適用する必要がある。

 今回公開されたセキュリティ情報および修正パッチは以下の7件。

(1)Microsoft Excelの脆弱性により、リモートでコードが実行される (934233) (MS07-023)

(2)Microsoft Wordの脆弱性により、リモートでコードが実行される (934232) (MS07-024)

(3)Microsoft Officeの脆弱性により、リモートでコードが実行される (934873) (MS07-025)

(4)Microsoft Exchange の脆弱性により、リモートでコードが実行される (931832) (MS07-026)

(5)Internet Explorer用の累積的なセキュリティ更新プログラム (931768) (MS07-027)

(6)CAPICOMの脆弱性により、リモートでコードが実行される (931906) (MS07-028)

(7)Windows DNSのRPCインターフェイスの脆弱性により、リモートでコードが実行される (935966) (MS07-029)

 (1)はExcelに関するセキュリティ情報。Excel 2000/2002/2003/2003 Viewer/2007、Office 2004 for Macなどが影響を受ける。これらのバージョンのExcelには特定のデータの処理に問題があるため、細工が施されたExcelファイルを開くだけで、ファイルに仕込まれた悪質なプログラムを実行される恐れがある。

 (2)は、Word 2000/2002/2003/2003 Viewerおよび「Office 2004 for Mac」などが影響を受けるぜい弱性。Word 2007は影響を受けない。(1)と同様に、これらのWordには特定のデータを適切に処理できないぜい弱性が存在するため、細工が施されたWordファイルを開くだけで、ウイルスなどに感染する危険性がある。

 なお、(2)を悪用した攻撃は2007年2月に既に出現しており、マイクロソフトでは2月15日、回避策などをまとめたセキュリティアドバイザリーを公開したものの、修正パッチは未公開だった。(関連記事)。その修正パッチが、今回ようやく公開された。

 (3)は、Office 2000/Office XP/Office 2003/Office 2007、Office 2004 for Macに含まれるOffice製品に関するセキュリティ情報。具体的には、これらに含まれるExcel 2000/2002/2003/2007、Excel Viewer 2003、FrontPage 2000/2002/2003、Publisher 2000/2002/2003/2007、SharePoint Designer 2007、Expression Webなどが影響を受ける。

 これらのソフトウエアには、特定のデータ処理に問題があるため、細工が施されたファイルを読み込むと、ファイルに仕込まれた悪質なプログラムを実行してしまう。

 (4)は Exchange Server 2000/2003/2007に関するぜい弱性。電子メールに対する特定の処理などに問題があるため、細工が施されたメールを送信されると、任意のプログラムを実行される危険性などがある。

 (5)はIEに関するセキュリティ情報。現在サポート対象となっているWindows(Windows 2000/XP/Server 2003/Vista)で動作するIEすべてが影響を受ける。細工が施されたWebページにアクセスするだけで、悪質なプログラムを勝手に実行される恐れがある。このセキュリティ情報には5件のぜい弱性が含まれ、そのうちのいくつかは第三者によって公表されているものの、マイクロソフトによれば、それらを悪用した攻撃は確認していないという。

 (6)は、BizTalk Server 2004などに含まれるコンポーネント「CAPICOM」に関するぜい弱性。ぜい弱性のあるCAPICOMがインストールされたパソコンでは、細工が施されたWebページにアクセスするだけで、攻撃者が意図したプログラムを勝手に実行される恐れがある。CAPICOMは、Windowsにはデフォルトでは含まれていない。BizTalk Server 2004やサードパーティの製品に含まれている。CAPICOMのファイル名は「CAPICOM.dll」。このファイルがインストールされていないパソコンは影響を受けない。

 (7)は、WindowsのDNSサーバーサービスに関するぜい弱性。Windows 2000 ServerとWindows Server 2003が影響を受ける。Windows 2000 Professional/XP/Vistaは影響を受けない。このぜい弱性を悪用されると、細工が施されたデータを送信されるだけで、悪質なプログラムを勝手に実行される恐れがある。

 実際、このぜい弱性を突いて感染を広げるウイルスが2007年4月に出現している(関連記事)。マイクロソフトでは、回避策などをまとめたセキュリティアドバイザリーを4月13日に公開して注意を呼びかけていたが、修正パッチは未公表だった。

 いずれのぜい弱性についても、対策は同日公開された修正パッチをインストールすること。「Microsoft Update」から適用できる。自動更新機能を有効にしていれば自動的に適用される。Office製品に関する修正プログラムについては「Office のアップデート」から、Windowsに関する修正プログラムについては「Windows Update」からも適用可能。

 それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正プログラムをダウンロードできる。なお、Mac版Office用の修正プログラムについては、セキュリティ情報のページからのみ入手可能。