マイクロソフトは2008年12月10日,WindowsやInternet Explorer,Officeなどに関するセキュリティ情報を8件公開した。内訳は,深刻度が最も高い「緊急」が6件,2番目に高い「重要」が2件。不正な細工が施されたWebページやファイルを開くと,ウィルスなど悪意のあるプログラムが実行される可能性がある。
「緊急」のセキュリティ情報は次の6件。いずれも悪意のあるプログラムがリモートで実行される脆弱性が含まれる。
- 【MS08-070/Visual Basic 6.0のランタイム拡張ファイル(ActiveXコントロール)の脆弱性によりリモートでコードが実行される(932349)】
Microsoft Visual Basic 6.0のランタイム拡張ファイルはアプリケーションに付属させて再配布できるモジュールなので,アプリケーション・ベンダーから提供されたプログラムに含まれている場合があるという。MS08-070は,悪用可能性指標(脆弱性が将来的に悪用される可能性を数値化したもの)が最も高い「1-安定した悪用コードの可能性」の脆弱性を3種類含み,このうち1つはスピア型攻撃での被害が確認されている。 - 【MS08-071/GDIの脆弱性によりリモートでコードが実行される(956802)】
Microsoft GDIが,不正な細工が施されたWMF(Windowsメタファイル)を取り扱う際に悪意のあるプログラムが実行される可能性がある。 - 【MS08-072/Microsoft Wordの脆弱性によりリモートでコードが実行される(957173)】
不正な細工が施されたWordファイルやRTF(リッチ・テキスト・ファイル)を開くと悪意のあるプログラムが実行される可能性がある。Mac版のWordや,Worksも影響を受ける。悪用可能性指標「1」の脆弱性を1種類含む。 - 【MS08-073/Internet Explorer用の累積的なセキュリティ更新プログラム(958215)】
Internet Explorerで不正な細工が施されたWebサイトを開くと,悪意のあるプログラムが実行される。悪用可能性指標「1」の脆弱性を3種類含んでおり,早期の対策が必要だ。 - 【MS08-074/Microsoft Office Excelの脆弱性によりリモートでコードが実行される(959070)】
不正な細工が施されたExcelファイルを開くと,悪意のあるプログラムが実行される可能性がある。Mac版のExcelや,Worksも影響を受ける。悪用可能性指標「1」の脆弱性を2種類含む。 - 【MS08-075/Windows Searchの脆弱性によりリモートでコードが実行される(959349)】
Windows SearchはWindows VistaおよびWindows Server2008が搭載するデスクトップ・サーチ機能である。通常の検索操作は問題がないが,不正な細工が施された検索条件ファイルについて特定の操作を行った場合に,悪意のあるプログラムが実行される可能性がある。悪用可能性指標「1」の脆弱性を1種類含む。
「重要」に設定されているのは次の2件。
- 【MS08-076/Windows Mediaコンポーネントの脆弱性によりリモートでコードが実行される(959807)】
Windows Media PlayerとWindows Mediaサーバーの間で認証情報を交換する際に,特定の操作を行うと悪意のあるプログラムが実行される可能性がある。 - 【MS08-076/Microsoft Office SharePoint Serverの脆弱性により特権が昇格される(957175)】
SharePoint Serverの設定変更などを行う企業向けのWebサイトにアクセスする際に,特定の操作をすると正規の認証手順を踏まずに特権が昇格する可能性がある。
今回発表されたセキュリティ情報の影響を受けるソフトウエアは次のとおり。
- Windows 2000/XP/Vista/Server 2003/Server2008
- Internet Explorer 5.01/6/7
- Windows Media Player 6.4,Windows Media Formatランタイム9.5/11,Windows Mediaサービス9シリーズ
- Office Word 2000/2002/2003/2007,Office Word Viewer 2003
- Office Excel 2000/2002/2003/2007,Office Excel Viewer,Office Excel Viewer 2003
- Office 2004/2008 for Mac,Open XML File Format Converter for Mac
- Word/Excel/PowerPoint 2007ファイル形式用Microsoft Office互換機能パック
- Works 8
- Office SharePoint Server 2007
- Visual Basic 6.0 ランタイムExtended Files,Visual Studio .NET 2002/2003,Visual FoxPro 8.0/9.0
修正パッチ適用の有無は,Microsoft Baseline Security Analyzerで検出できる。修正パッチは「Microsoft Update」「Windows Update」「Office Update」「マイクロソフト ダウンロード センター」から入手可能。自動更新機能を有効にしていれば自動的に適用,あるいはダウンロードされる。修正パッチによっては,適用後にマシンの再起動が必要な場合がある。
[発表資料へ]