マイクロソフトは2010年6月9日、WindowsやInternet Explore(IE)、「Office」などに関するセキュリティ情報およびセキュリティ更新プログラム(修正パッチ)を10件公開した。セキュリティ情報には、合計34件の脆弱(ぜいじゃく)性が含まれる。最大深刻度は最悪の「緊急」。脆弱性を悪用されると、細工が施されたWebページやファイルを開くだけで、悪質なプログラム(ウイルスなど)を実行される危険性などがある。
今回公開されたセキュリティ情報の影響を受けるのは、以下のソフトウエア。
Windows 2000/XP/Vista/7/Server 2003/Server 2008
IE 6/7/8
Office XP/2003/2007、Office 2004/2008 for Mac
Open XML File Format Converter for Mac、Office Excel Viewer、Word/Excel/PowerPoint 2007 ファイル形式用Microsoft Office互換機能パック
InfoPath 2003/2007、SharePoint Server 2007、SharePoint Service 3.0
インターネットインフォメーションサービス(IIS)6.0/7.0/7.5
.NET Framework 1.0/1.1/2.0/3.5。
最大深刻度が「緊急」のセキュリティ情報は以下の3件。いずれも、ウイルスなどを勝手に実行される恐れがある、危険な脆弱性が含まれる。
(1)[MS10-033]メディア解凍の脆弱性により、リモートでコードが実行される (979902)
(2)[MS10-034]ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (980195)
(3)[MS10-035]Internet Explorer 用の累積的なセキュリティ更新プログラム (982381)
(3)に含まれる脆弱性のうち1つは、第三者によって既に公表されている。それを受けてマイクロソフトは、2010年2月にその脆弱性の概要と回避策を公開してはいるものの、修正パッチは未公開だった。それが今回、ようやく公開された。
最大深刻度が上から2番目の「重要」に設定されているのは以下の7件。
(4)[MS10-032]Windows カーネルモードドライバーの脆弱性により、特権が昇格される (979559)
(5)[MS10-036]Microsoft OfficeのCOMの検証の脆弱性により、リモートでコードが実行される (983235)
(6)[MS10-037]OpenType Compact Font Format (CFF) ドライバーの脆弱性により、特権が昇格される (980218)
(7)[MS10-038]Microsoft Office Excelの脆弱性により、リモートでコードが実行される (2027452)
(8)[MS10-039]Microsoft SharePointの脆弱性により、特権が昇格される (2028554)
(9)[MS10-040]インターネットインフォメーションサービスの脆弱性により、リモートでコードが実行される (982666)
(10)[MS10-041]Microsoft .NET Framework の脆弱性により、改ざんが起こる (981343)
これらのうち(8)に含まれる脆弱性についても、第三者によって公開されている。このためマイクロソフトでは、2010年4月にセキュリティアドバイザリーを公開。脆弱性の概要や回避策などを公表した。
いずれについても、対策は修正パッチを適用すること。自動更新機能を有効にしていれば自動的に適用される。「Microsoft Update」から適用可能。それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正パッチをダウンロードできる。Office for MacといったMac用製品の修正パッチについては、Webサイトからのみ入手可能。
ただし、(5)のOffice XP用パッチは提供されない。「Office XPのアーキテクチャーの問題により、今回の脆弱性を修正しようとすると、プログラムに大幅に手を入れる必要がある」(プレミアフィールドエンジニアリングの小野寺匠氏)ためだ。脆弱性を修正すると、「今まで開けたファイルを開けなくなる」といった互換性の問題などが発生する恐れがあるという。
このためOffice XPについては、Windowsの設定変更で回避することを推奨している。設定変更用のツール(Microsoft Fix it 50452)も用意している。同ツールを利用すれば、脆弱性は解消できないものの、既知の悪用を防ぐことができる。同ツールの詳細については、マイクロソフトの情報を参照してほしい。
