日本マイクロソフトは2012年5月9日、WindowsやOfficeなどに関するセキュリティ情報を7件公開した。そのうち3件は、最大深刻度(危険度)が最悪の「緊急」。それらに含まれる脆弱性を悪用されると、細工が施されたファイルやWebページを開くだけでウイルスに感染する恐れなどがある。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2)、Office 2003/2007/2010、Office 2008 for Mac、Office for Mac 2011、Office互換機能パック、Excel Viewer、.NET Framework 1.0/1.1/2.0/3.0/3.5/3.5.1/4、Silverlight 4/5。
最大深刻度が「緊急」のセキュリティ情報は以下の3件。
(1)[MS12-029]Microsoft Word の脆弱性により、リモートでコードが実行される (2680352)
(2)[MS12-034]Microsoft Office、Windows、.NET Framework、Silverlight 用のセキュリティ更新プログラムの組み合わせ (2681578)
(3)[MS12-035].NET Framework の脆弱性により、リモートでコードが実行される (2693777)
(1)は、Word 2003/2007などが影響を受けるセキュリティ情報。WordがRTFファイルを取り扱う方法に脆弱性が見つかった。細工が施されたRTFファイルを開くと、中に仕込まれたウイルスを勝手に実行される恐れなどがある。
特に注意が必要なのは、Outlook 2007のユーザー。Outlook 2007の初期設定では、メールを表示するソフト(リーダー)としてWordが使われるからだ。
悪質なRTFファイルがメールとして送られてきた場合、Outlook 2007はWordを使ってそのメールを開こうとする。このため、脆弱性のあるWordをインストールしているパソコンでは、メールをプレビューするだけで被害に遭う。
Outlook 2007のユーザーでなくても、メールのリーダーにWordを設定している場合には、同様の危険性がある。
(2)は、Windowsや.NET Framework、Office、Silverlightなどが影響を受けるセキュリティ情報。このセキュリティ情報には、10件の脆弱性が含まれる。
このセキュリティ情報が主に対象としているのは、「TrueTypeフォントの解析の脆弱性」と呼ばれる脆弱性。だが、この脆弱性の影響を受けるコンポーネント(ソフト)には、複数のコンポーネントが関連していて、それら全てを修正する必要がある。このため、対象となる製品の種類や、脆弱性の数が多くなっている。
今回公表されたセキュリティ情報の中では(1)と(2)が特に重要なので、企業ユーザーに対しては、「最優先で対応してほしい」(日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏)としている。
最大深刻度が上から2番目の「重要」に設定されているのは以下の4件。
(4)[MS12-030]Microsoft Office の脆弱性により、リモートでコードが実行される (2663830)
(5)[MS12-031]Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2597981)
(6)[MS12-032]TCP/IP の脆弱性により、特権が昇格される (2688338)
(7)[MS12-033]Windows Partition Manager の脆弱性により、特権が昇格される (2690533)
対策はパッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からも修正パッチをダウンロードできる。ただしMacのパッチについては、Webサイトからのみ入手可能。
