マイクロソフトは2008年5月14日、WindowsやMicrosoft Officeなどに関するセキュリティ情報を4件公開した。そのうち3件は、最大深刻度(危険度)が最悪の「緊急」。細工が施されたファイルを開くだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)を適用すること。
最大深刻度が「緊急」のセキュリティ情報は以下の3件。
(1)[MS08-026]Microsoft Wordの脆弱性により、リモートでコードが実行される (951207)
(2)[MS08-027]Microsoft Office Publisherの脆弱性により、リモートでコードが実行される (951208)
(3)[MS08-028]Microsoft Jet Database Engineの脆弱性により、リモートでコードが実行される (950749)
(1)は、Microsoft Wordに関するセキュリティ情報。リッチテキスト形式(拡張子が.rtf)ファイルや、Word文書ファイル内の特定データ(値)を処理する方法に問題が見つかった。細工が施された文書ファイルを開くと、ファイルに仕込まれた悪質なプログラム(ウイルスなど)を勝手に実行される恐れがある。
影響を受けるのは、Word 2000/2002/2003/2007、Word Viewer 2003、Office 2004/2008 for Mac、Outlook 2007など。(1)はWordの脆弱(ぜいじゃく)性だが、Word 2007とOutlook 2007が共有しているファイル(コンポーネント)に今回の脆弱性が見つかったために、Outlook 2007も影響を受ける。
(2)は、Microsoft Office Publisherに関するセキュリティ情報。Publisher 2000/2002/2003/2007には、ファイルに含まれる特定のデータを適切に処理できない問題が見つかった。このため、細工が施されたPublisherファイルを開くと、中に仕込まれた悪質なプログラムを実行される危険性がある。
(3)は、Windowsに含まれるデータベースエンジン「Microsoft Jet Database Engine(Jet)」のセキュリティ情報。影響を受けるのは、Windows 2000/XP/Server 2003。ただし、Windows XP SP3とServer 2003 SP2は影響を受けない。また、Windows VistaやServer 2008なども影響を受けない。
Windows 2000/XP/Server 2003などに含まれるJetには、渡されたデータを適切に処理できない問題が見つかった。このため、細工が施されたデータを渡すようなWordファイルや、データベースファイル(拡張子が.mdb)を開くと、悪質なプログラムを実行される恐れがある。
この脆弱性を悪用した攻撃(悪質なファイル)は既に出現しており、マイクロソフトでは2008年3月に脆弱性の概要(セキュリティアドバイザリ)を公表していたが、セキュリティ情報や修正パッチは未公開だった。
最大深刻度が上から3番目の「警告」に設定されているのは以下の1件。
(4)[MS08-029]Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる (952044)
これは、マイクロソフトのセキュリティ製品に含まれる「Microsoft Malware Protection Engine(以下、Protection Engine)」に関するセキュリティ情報。Protection Engineとは、「Windows Live OneCare」「Microsoft Antigen」「Windows Defender」「Microsoft Forefront」などに含まれるウイルス(マルウエア)スキャンエンジン。ウイルスの検出・駆除機能などを提供する。
Protection Engineには、細工が施されたファイルをスキャンすると、セキュリティ製品やWindowsが適切に動作しなくなり、再起動する恐れがあるという。
いずれについても、対策は修正パッチを適用すること。Microsoft Updateから適用可能。自動更新機能を有効にしていれば自動的に適用される。また、Windowsに関するパッチは「Windows Update」から、Office関連のパッチは「Officeのアップデート」からも適用できる。
加えて、それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正パッチをダウンロードできる。Mac版Office用の修正パッチについては、セキュリティ情報のページからのみ入手可能。
なお、(4)の修正パッチについては、該当するセキュリティ製品がそれぞれ備えるアップデート機能により自動的に適用される。
