マイクロソフトは2007年9月12日、WindowsやVisual Studio、MSN Messengerなどに関するセキュリティ情報を4件公開した。細工が施されたWebページにアクセスするだけで被害に遭うぜい弱性(セキュリティホール)が含まれる。対策は、同日公開された修正パッチ(セキュリティ更新プログラム)を適用すること。

 今回公開されたセキュリティ情報は4件。そのうち以下の1件については、ぜい弱性の最大深刻度(危険度)が、4段階評価で最悪の「緊急」に設定されている。

(1)[MS07-051]Microsoft エージェントの脆弱性により、リモートでコードが実行される (938827)

 (1)は、Windows 2000に含まれるコンポーネント「Microsoftエージェント」のぜい弱性に関するセキュリティ情報。Microsoftエージェントとは、対話的なユーザー・インタフェースを提供するコンポーネントである。Windows 2000以外にも標準で含まれるが、(1)の影響を受けるのはWindows 2000のMicrosoftエージェントのみ。このため、Windows 2000以外のWindowsは影響を受けない。

 Windows 2000のMicrosoftエージェントには、URLの処理方法にぜい弱性があることが明らかとなった。このためWebページなどを経由して、細工が施されたURLを読み込まされると、悪質なプログラム(ウイルス)を実行される恐れがある。つまり、悪質なWebページにアクセスするだけで、ウイルス感染などの被害に遭う危険性がある。

 最大深刻度が上からの2番目の「重要」に設定されているのは、以下の3件。

(2)[MS07-052]Crystal Reports for Visual Studio の脆弱性により、リモートでコードが実行される (941522)
(3)[MS07-053]Windows Services for UNIX の脆弱性により、特権の昇格が起こる (939778)
(4)[MS07-054]MSN Messenger および Windows Live Messenger の脆弱性により、リモートでコードが実行される (942099)

 (2)は、Visual Studioに含まれるソフトウエア「Crystal Reports」に関するセキュリティ情報。細工が施されたファイルを読み込むと、ファイルに仕込まれた悪質なプログラムを実行される。影響を受けるのは、Visual Studio .NET 2002/.NET 2003、Visual Studio 2005のユーザー。

 (3)は、Windows上でUNIXのツールなどを実行するための「Windows Services for UNIX 3.0/3.5(SFU 3.0/3.5)」に関するセキュリティ情報。SFU 3.0/3.5には、ユーザー権限を勝手に昇格してしまうぜい弱性が見つかった。このぜい弱性を悪用すると、一般ユーザーに管理者権限を奪われる恐れなどがある。

 SFUは標準ではインストールされていない。SFUを明示的にインストールしている(有効にしている)環境のみが影響を受ける。また、SFU 1.0/2.0/2.1/2.2は影響を受けない。

 (4)は、インスタントメッセージングソフト「MSN Messenger」および「Windows Live Messenger」のぜい弱性情報。影響を受けるバージョンは、MSN Messenger 6.2/7.0/7.5、Windows Live Messenger 8.0。これらには、Webカメラやビデオチャットの処理に問題がある。このため、攻撃者からのビデオチャットの誘いを受け入れると、悪質なプログラムを送り込まれて実行される危険性がある。

 Windows XPに標準で含まれるWindows Messengerは影響を受けない。また、MSN Messenger 7.0.0820やWindows Live Messenger 8.1も影響を受けない。

 マイクロソフトによれば、(2)から(4)のぜい弱性については、第三者によって既に公表されていて、ぜい弱性を突くことが可能であることを示すプログラム(検証コード、エクスプロイト)も公開されているという。しかしながら同社では、ぜい弱性が実際に悪用されたという報告を受け取っていない。

 いずれのぜい弱性についても、同日公開された修正パッチをインストールすることが対策となる。修正パッチは、それぞれのセキュリティ情報のページからダウンロードできる。

 また、自動更新機能を有効にしていれば自動的に適用されるし、Microsoft Updateからも適用できる。ただし(4)の修正パッチについては、MSN MessengerやWindows Live Messengerの仕組みを使って配信される。対象となるバージョンのMessengerクライアントでサインインすると、バージョンアップのお知らせが表示され、受け入れると修正パッチが適用されてバージョンアップされる。