マイクロソフトは2008年4月9日、WindowsやInternet Explorer(IE)、Microsoft Officeに関するセキュリティ情報を8件公開した。そのうち5件は、最大深刻度(危険度)が最悪の「緊急」。細工が施されたWebページやファイルを開くだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)の適用。
危険な「緊急」は5件
最大深刻度が「緊急」のセキュリティ情報は以下の5件。いずれの情報にも、ウイルスなどを勝手に実行される恐れがある、危険な脆弱(ぜいじゃく)性が含まれる。
(1)[MS08-018]Microsoft Projectの脆弱性により、リモートでコードが実行される (950183)
(2)[MS08-021]GDIの脆弱性により、リモートでコードが実行される (948590)
(3)[MS08-022]VBScriptおよびJScriptスクリプトエンジンの脆弱性により、リモートでコードが実行される (944338)
(4)[MS08-023]ActiveX Kill Bit用のセキュリティ更新プログラム (948881)
(5)[MS08-024]Internet Explorer用の累積的なセキュリティ更新プログラム (947864)
(1)は、Microsoft Officeのプロジェクト管理ソフト「Microsoft Project」に関するセキュリティ情報。影響を受けるのは、Project 2000/2002/2003。これらのProjectには、Projectファイルを処理する方法に脆弱性が見つかった。このため、細工が施されたProjectファイルを読み込むと、中に仕込まれたウイルスなどを実行される恐れがある。なお、Project 2007やProject Server 2003/2007、Project Portfolio Server 2007は影響を受けない。
(2)は、Windowsに含まれるGDI(Graphics Device Interface)に関するセキュリティ情報。GDIとは、グラフィックス処理を行うプログラム(コンポーネント)。ディスプレイやプリンターなどにグラフィックスを出力する際に使用される。
今回GDIに見つかった脆弱性は、Windowsメタファイル(WMF)および拡張メタファイル(EMF)形式の画像処理に関するもの。細工が施されたWMF/EMFファイルを処理しようとすると、バッファーオーバーフローという問題が発生して、ファイルに仕込まれた悪質なプログラムを実行される恐れがある。
このため、Windowsで動作するアプリケーションで、悪質なWMF/EMFファイルを開くだけで被害に遭う。悪質ファイルが貼られたWebページや文書ファイル、HTMLメールなどを開くだけでも、ウイルスなどを勝手に実行される危険性がある。
現在サポート対象となっているすべてのWindows(Windows 2000 SP4/XP SP2/Server 2003 SP1/Server 2003 SP2/Vista /Vista SP1/Server 2008)が影響を受ける。
