マイクロソフトは2007年5月9日、WindowsやInternet Explorer(IE)、「Office」などのぜい弱性(セキュリティホール)に関する情報を7件公開した。ぜい弱性の最大深刻度(危険度)はいずれも最悪の「緊急」。細工が施されたWebページや文書ファイルを開くだけで、悪質なプログラム(ウイルス)を実行される危険性がある。既に悪用が確認されているぜい弱性もある。このため同社製品のユーザーは、すぐにセキュリティ更新プログラム(修正パッチ)を適用する必要がある。
今回公開されたセキュリティ情報および修正パッチは以下の7件。
(1)Microsoft Excelの脆弱性により、リモートでコードが実行される (934233) (MS07-023)
(2)Microsoft Wordの脆弱性により、リモートでコードが実行される (934232) (MS07-024)
(3)Microsoft Officeの脆弱性により、リモートでコードが実行される (934873) (MS07-025)
(4)Microsoft Exchange の脆弱性により、リモートでコードが実行される (931832) (MS07-026)
(5)Internet Explorer用の累積的なセキュリティ更新プログラム (931768) (MS07-027)
(6)CAPICOMの脆弱性により、リモートでコードが実行される (931906) (MS07-028)
(7)Windows DNSのRPCインターフェイスの脆弱性により、リモートでコードが実行される (935966) (MS07-029)
(1)はExcelに関するセキュリティ情報。Excel 2000/2002/2003/2003 Viewer/2007、Office 2004 for Macなどが影響を受ける。これらのバージョンのExcelには特定のデータの処理に問題があるため、細工が施されたExcelファイルを開くだけで、ファイルに仕込まれた悪質なプログラムを実行される恐れがある。
(2)は、Word 2000/2002/2003/2003 Viewerおよび「Office 2004 for Mac」などが影響を受けるぜい弱性。Word 2007は影響を受けない。(1)と同様に、これらのWordには特定のデータを適切に処理できないぜい弱性が存在するため、細工が施されたWordファイルを開くだけで、ウイルスなどに感染する危険性がある。
なお、(2)を悪用した攻撃は2007年2月に既に出現しており、マイクロソフトでは2月15日、回避策などをまとめたセキュリティアドバイザリーを公開したものの、修正パッチは未公開だった。(関連記事)。その修正パッチが、今回ようやく公開された。
(3)は、Office 2000/Office XP/Office 2003/Office 2007、Office 2004 for Macに含まれるOffice製品に関するセキュリティ情報。具体的には、これらに含まれるExcel 2000/2002/2003/2007、Excel Viewer 2003、FrontPage 2000/2002/2003、Publisher 2000/2002/2003/2007、SharePoint Designer 2007、Expression Webなどが影響を受ける。
これらのソフトウエアには、特定のデータ処理に問題があるため、細工が施されたファイルを読み込むと、ファイルに仕込まれた悪質なプログラムを実行してしまう。
(4)は Exchange Server 2000/2003/2007に関するぜい弱性。電子メールに対する特定の処理などに問題があるため、細工が施されたメールを送信されると、任意のプログラムを実行される危険性などがある。
(5)はIEに関するセキュリティ情報。現在サポート対象となっているWindows(Windows 2000/XP/Server 2003/Vista)で動作するIEすべてが影響を受ける。細工が施されたWebページにアクセスするだけで、悪質なプログラムを勝手に実行される恐れがある。このセキュリティ情報には5件のぜい弱性が含まれ、そのうちのいくつかは第三者によって公表されているものの、マイクロソフトによれば、それらを悪用した攻撃は確認していないという。
(6)は、BizTalk Server 2004などに含まれるコンポーネント「CAPICOM」に関するぜい弱性。ぜい弱性のあるCAPICOMがインストールされたパソコンでは、細工が施されたWebページにアクセスするだけで、攻撃者が意図したプログラムを勝手に実行される恐れがある。CAPICOMは、Windowsにはデフォルトでは含まれていない。BizTalk Server 2004やサードパーティの製品に含まれている。CAPICOMのファイル名は「CAPICOM.dll」。このファイルがインストールされていないパソコンは影響を受けない。
(7)は、WindowsのDNSサーバーサービスに関するぜい弱性。Windows 2000 ServerとWindows Server 2003が影響を受ける。Windows 2000 Professional/XP/Vistaは影響を受けない。このぜい弱性を悪用されると、細工が施されたデータを送信されるだけで、悪質なプログラムを勝手に実行される恐れがある。
実際、このぜい弱性を突いて感染を広げるウイルスが2007年4月に出現している(関連記事)。マイクロソフトでは、回避策などをまとめたセキュリティアドバイザリーを4月13日に公開して注意を呼びかけていたが、修正パッチは未公表だった。
いずれのぜい弱性についても、対策は同日公開された修正パッチをインストールすること。「Microsoft Update」から適用できる。自動更新機能を有効にしていれば自動的に適用される。Office製品に関する修正プログラムについては「Office のアップデート」から、Windowsに関する修正プログラムについては「Windows Update」からも適用可能。
それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正プログラムをダウンロードできる。なお、Mac版Office用の修正プログラムについては、セキュリティ情報のページからのみ入手可能。