マイクロソフトは3月11日,3月10日に公開したOutlook 2002のセキュリティ・ホールの深刻度を最悪の「緊急」に引き上げた(関連記事)。当初は「Outlookのデフォルト(既定)のホームページを『Outlook Today』にしている場合のみ影響を受ける」としていたが,そうでない場合も影響を受けることが明らかとなったため。Outlook 2002ユーザーは,パッチあるいはサービスパックを早急に適用する必要がある。
Outlook 2002に見つかったセキュリティ・ホールを突かれると,WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行させられる恐れがある(関連記事)。すべてのメールをテキストで表示する設定にしていても,メール中のリンクをクリックすると,同様に被害に遭う。
ただし,当初は(1)Outlook 2002をデフォルトのメール・ソフトに設定していない場合,あるいは(2)「Outlook Today」をデフォルトのホームページに設定していない場合には影響を受けないとされていた。すべてのOutlook 2002ユーザーが影響を受けるわけではないので,深刻度は上から2番目の「重要」に設定されていた。
ところがその後,「Outlook Today」をデフォルトのホームページに設定していない場合でも影響を受けることが明らかとなった。つまり,Outlook 2002をデフォルトのメール・ソフトに設定しているユーザーすべてが影響を受ける。そこでマイクロソフトは,深刻度を最悪の「緊急」に引き上げた。
対策は,当初からアナウンスされているように,パッチあるいは「Office XP SP-3」を適用すること(関連記事)。マイクロソフトでは「Office XP SP-3」を適用することを勧めている。パッチやOffice XP SP-3の内容に変更はないので,既に適用しているユーザーは何もする必要はない。
セキュリティ情報の内容も,「『Outlook Today』をデフォルトのホームページに設定していない場合でも影響を受ける」ということ以外に変更が加えられている。具体的には,パッチ(修正プログラム)に関する情報が変更された。当初はパッチへのリンクが1種類だったが,3月11日に「クライアント用」と「管理者用」の2種類が用意された(当初公開されていたのは「管理者用」)。「クライアント用」はファイル・サイズが小さいものの,適用の際にインストールCD(Office XPのCD-ROM)を要求される場合がある。「管理者用」では要求されないが,ファイル・サイズが大きい。詳細については,セキュリティ情報の「セキュリティ修正プログラムに関する情報」を参照してほしい。
◎参考資料
◆「Outlook の脆弱性により,コードが実行される (828040) (MS04-009)」(3月10日公開,3月11日更新)
(勝村 幸博=IT Pro)
