マイクロソフトは2007年7月11日、WindowsやExcel、.NET Frameworkなどに、複数のぜい弱性(セキュリティホール)が見つかったことを明らかにした。細工が施されたファイルやWebページを開くだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、同日公開された修正パッチ(セキュリティ更新プログラム)の適用。Microsoft Updateなどから適用できる。

 今回公開されたセキュリティ情報は6件。そのうち以下の3件については、ぜい弱性の最大深刻度(危険度)が、4段階評価で最悪の「緊急」に設定されている。

(1)[MS07-036]Microsoft Excel の脆弱性により、リモートでコードが実行される (936542)
(2)[MS07-039]Windows Active Directory の脆弱性により、リモートでコードが実行される (926122)
(3)[MS07-040].NET Framework の脆弱性により、リモートでコードが実行される (931212)

 (1)は、Excel 2000/2002/2003/2007および「Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック」に関するセキュリティ情報。これらには、不正な形式のExcelファイルを処理する方法に問題があることが明らかになった。このため、細工が施されたファイルを読み出すだけで、ファイルに仕込まれた悪質なプログラムが実行される。

 (2)は、Windows 2000 ServerおよびWindows Server 2003のセキュリティ情報。Windows 2000 ProfessionalやWindows XP、Windows Vistaは影響を受けない。

 Windows 2000 Server/Server 2003に搭載されているディレクトリサービスActive Directoryには、送られたデータを適切にチェックしない場合がある。このため、細工が施されたデータを送信されると、データに含まれる悪質なプログラムが実行される危険性がある。

 ただしWindows Server 2003については、有効なログオン資格を持つユーザー(アクセス権限を与えられているユーザー)のみが攻撃可能。このため、深刻度が「緊急」なのはWindows 2000 Serverのみで、Windows Server 2003については上からの2番目の「重要」に設定されている。

 (3)は、Webサービスなどを利用するためのプログラム集である.NET Frameworkに関するセキュリティ情報。.NET Framework 1.0/1.1/2.0をインストールしているWindowsマシンが影響を受ける。.NET Framework 3.0は影響を受けない。なお、.NET Frameworkが既定でインストールされているのは、.NET Framework 1.0についてはWindows XP Tablet PC Edition 2005/XP Media Center Edition 2005、.NET Framework 1.1についてはWindows Server 2003 SP1/SP2、.NET Framework 2.0についてはWindows Vistaのみ。

 今回、.NET Frameworkに含まれるいくつかのプログラムにぜい弱性が見つかった。入力データを適切にチェックしないなどの理由により、細工が施されたデータを読み出すと、データに含まれる悪質なプログラムを実行されてしまう。例えば、.NET Framework 1.0/1.1/2.0をインストールしているパソコンでは、細工が施されたWebページにInternet Explorerでアクセスすると、悪質なプログラムを実行される恐れがある。

 最大深刻度が「重要」に設定されているのは、以下の2件。

(4)[MS07-037]Microsoft Office Publisher 2007 の脆弱性により、リモートでコードが実行される (936548)
(5)[MS07-041]Microsoft インターネット インフォメーション サービスの脆弱性により、リモートでコードが実行される (939373)

 (4)は、Publisher 2007のセキュリティ情報。Publisher 2000/2002/2003は影響を受けない。Publisher 2007には、不正な形式のファイルを読む込む際、読み込んだデータを適切にチェックしない場合がある。このため、細工が施されたPublisherファイルを読み込むと、ファイルに仕込まれた悪質なプログラムを実行される危険性がある。

 (5)は、WebサーバーソフトInternet Information Services(IIS)に関するセキュリティ情報。Windows XP Professional SP2上で動作するIIS 5.1だけが対象。このため、Windows XP Professional SP2以外のOSは影響を受けない。また、Windows XP Professional SP2には、既定ではIIS 5.1はインストールされていない。

 IIS 5.1には、ユーザーから送信されたURLを適切にチェックしない問題が存在する。このため、細工が施されたデータをURLとして送信されると、データに含まれる悪質なプログラムを実行される恐れがある。

 最大深刻度が、上から3番目(下から2番目)の「警告」に設定されているのは次の1件。

(6)[MS07-038]Windows Vista ファイアウォールの脆弱性により、情報漏えいが起こる (935807)

 これは、Windows Vistaに関するセキュリティ情報。Vistaのファイアウオール機能には、フィルタリングのルールのいくつかをバイパスされるぜい弱性が見つかった。このため、Windows Vistaがインストールされたパソコンの情報などを、インターネット経由で盗まれる恐れなどがある。

 いずれのぜい弱性についても、同日公開された修正パッチをインストールすることが対策となる。自動更新機能を有効にしていれば自動的に適用されるし、Microsoft Updateからも適用できる。

 また、(1)や(4)などのOffice製品に関する修正パッチについては「Office のアップデート」から、Windowsに関する修正プログラムについては「Windows Update」からも適用可能。それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正パッチをダウンロードできる。