マイクロソフトは3月10日,Microsoft Office XPに含まれる「Outlook 2002」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページやHTMLメールを閲覧すると,任意のプログラムを実行させられる恐れがある。セキュリティ・ホールの深刻度は上から2番目の「重要」に設定されている。対策はパッチあるいは「Office XP Service Pack 3(SP-3)」を適用すること。Office関連のパッチは「Windows Update」を実施しても適用できないので注意が必要。Office XP SP-3を適用している場合や,Outlook 2000およびOutlook 2003は影響を受けない。

 Outlook 2003の「mailto:」形式のURLを解析する部分に今回のセキュリティ・ホールが見つかった(「mailto:」については,RFC 2368に規定されている)。WebページやHTMLメールに,ある細工を施した「mailto:」を記述しておくと,そのページをInternet Explorer(IE)で閲覧しただけで(あるいはそのメールをOutlookなどで開いただけで),「mailto:」形式のURLに含まれる任意のプログラム(スクリプト・コード)を実行させられる。

 対策は,Office XP SP-3をインストールすること。セキュリティ情報ページの「修正プログラム」にリンクされているのは,いずれもOffice XP SP-3のダウンロード・ページである。Office XP SP-3は「Office アップデート」からも適用できる。ただし,「Windows Update」からは適用できない。なお,Office XP SP-3を適用する際には,Office XPのCD-ROMが必要となる場合がある。

【3月10日追記】セキュリティ情報公開当初は,前述のように「修正プログラム」にリンクされていたのは3月10日に公開されたOffice XP SP-3だったが,現時点(午前10時)では今回のセキュリティ・ホールをふさぐためのパッチへリンクが張られている。このため,現在の対策は,パッチあるいはOffice XP SP-3をインストールすること。このパッチもOffice XP SP-3同様,「Office アップデート」から入手できる。「Windows Update」では適用できない。【以上,3月10日追記】

【3月10日追記】マイクロソフトの「新着サポート技術情報」において,3月10日付けで「インストール CD なしで Office XP をアップデートする方法」が公開されている。この情報に従えば,Office XPのCD-ROMなしでもOffice XP SP-3を適用できる。【以上,3月10日追記】

 また,今回のセキュリティ・ホールは,(1)Outlookをデフォルトのメール・ソフト(「mailto:」リンクをクリックすると起動されるメール・ソフト)に設定していて,かつ(2)Outlookのデフォルト(既定)のホームページを「Outlook Today」に設定している場合のみ影響を受ける。Outlookをデフォルトのメール・ソフトに設定していない場合,あるいは「Outlook Today」をデフォルトのホームページに設定していない場合には影響を受けない。Outlook2002でデフォルトのホームページを変更する手順は,セキュリティ情報の「回避策」に記載されている。

 HTMLメールを使った攻撃を回避するには,デジタル署名されていないメールあるいは暗号化されていないメールはすべてテキスト形式で表示するように設定することも有効である。設定方法はサポート技術情報に記載されている。今回のセキュリティ・ホールの影響を受けないものの,Outlook Express 6 SP1においても,テキスト形式で表示するように設定しておくことが望ましい。

◎参考資料
Outlook の脆弱性により,コードが実行される (828040) (MS04-009)(マイクロソフト)
Microsoft Outlook "mailto:" Parameter Passing Vulnerability(米iDefense)
Microsoft Office XP Service Pack 3(マイクロソフト)
Microsoft Office XP Service Pack 3 の概要(マイクロソフト)

(勝村 幸博=IT Pro)