マイクロソフトは7月13日,WindowsやInternet Explorer(IE)およびMicrosoft Wordに見つかった危険なセキュリティ・ホールを公表した。細工が施されたWebページやファイルを開くだけで,中に仕込まれた悪質なプログラム(例えばウイルス)を勝手に実行される可能性がある。今回公開されたセキュリティ情報は3件で,最大深刻度はいずれも最悪の「緊急」。対策は修正パッチを適用すること。「Microsoft Update」あるいは「Windows Update」および「Offceのアップデート」から適用できる(関連記事)。

 今回公表されたセキュリティ情報は次の3件。

(1)Microsoft Word の脆弱性により,リモートでコードが実行される (903672) (MS05-035)

(2)マイクロソフト カラー管理モジュールの脆弱性によりリモートでコードが実行される (901214) (MS05-036)

(3)JView プロファイラの脆弱性によりリモートでコードが実行される (903235) (MS05-037)

 (1)は,Microsoft Wordに関するセキュリティ情報である。Microsoft Word 2000/2002が影響を受ける。Word 2000/2002には,Word文書中のフォントを処理するプロセスに未チェックのバッファが存在する。このため,細工が施されたWord文書を開くとバッファ・オーバーフローが発生し,ファイルに含まれた任意のプログラムを実行させられる可能性がある。このとき,任意のプログラムはWord文書を開いたユーザーの権限で実行される。深刻度は,Word 2000については「緊急」,Word 2002については上から2番目の「重要」に設定されている。

 Word 2000およびWord2002をそれぞれ含むMicrosoft Works Suite 2000/2001およびMicrosoft Works Suite 2002 (英語版のみ)/2003 (英語版のみ)/2004も影響を受ける。Microsoft Office 2003に含まれるWord 2003,Office Word 2003 Viewerは影響を受けない。

 (2)は,Windowsに含まれる「Microsoft カラー管理モジュール」に関するセキュリティ情報。カラー管理モジュールとは,異なるデバイスあるいはアプリケーション間で一貫した色彩表示(カラー・マッピング)を実現するためのモジュール。このカラー管理モジュールにバッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,細工が施されたイメージを表示すると,中に仕込まれた悪質なプログラムを実行させられる可能性がある。イメージ・ファイルを明示的に開かなくても,そのようなイメージが貼られたWebページやHTMLメールなどを開くだけで被害に遭う。マイクロソフトでは,このセキュリティ・ホールが既に悪用されているという報告を受けている。

 (2)の影響を受けるのは,Windows 98/98SE/Me/2000/XP(XP SP2を含む)/Server 2003(Server 2003 SP1を含む)。深刻度はWindows 2000/XP/Server 2003が「緊急」,Windows 98/98SE/Meが「重要」である。Windows 98/98SE/Meも影響を受けるものの,深刻度が「緊急」ではないため,修正パッチは提供されない。

 (3)は,セキュリティ アドバイザリとして,同社から米国時間6月30日に公表されたセキュリティ・ホールに関する情報である(関連記事)。ほとんどすべてのWindows上のIEが影響を受ける。深刻度は,Windows Server 2003/Server 2003 SP1環境では下から2番目の「警告」に設定されている。これら以外のWindowsでは,いずれも最悪の「緊急」に設定されている。

 このセキュリティ・ホールは,IEのCOMオブジェクトの呼び出しに関するもの。COMオブジェクトの一つ「Viewプロファイラ (Javaprxy.dll) 」を呼び出すようなHTMLファイル(Webページ/HTMLメール)を開くと,IEが強制終了したり,ファイルに含まれる任意のプログラムを実行させられる可能性がある。実際,このセキュリティ・ホールを悪用するコード(プログラム)が公開されている(関連記事)。

 ViewプロファイラはIEを通じて呼び出されることを想定してない。このため,IEを通じて呼び出せないように「Kill bit」を設定することが対策となる。セキュリティ情報には,手動で設定する方法が記載されている。また,セキュリティ情報と同時に公開された修正パッチを適用すれば,Kill bitが自動的に設定される。

 なお,米国時間7月5日に公開された,(3)のセキュリティ・ホールの影響を回避するツール(プログラム)の機能は,今回公開された修正パッチと同じである(関連記事)。このためセキュリティ情報の「このセキュリティ更新プログラムに関するよく寄せられる質問」には,「2005年7月5日 に更新されたアドバイザリから利用可能なダウンロードを適用している場合,このセキュリティ更新プログラムを適用する必要はありません」と記述されている。

 対策は,いずれのセキュリティ・ホールについても同社が公開する修正パッチを適用すること。いずれのパッチも「ダウンロードセンター」から入手可能(ただし,(3)のWindows 98/98SE/Me用パッチについてはWindows Updateからしか適用できない)。パッチへのリンクは,それぞれのセキュリティ情報に記載されている。

 Microsoft UpdateおよびWindows UpdateOffceのアップデートからも適用できる。Windows 2000/XP/Server 2003については,Microsoft Updateサイトにアクセスすれば,すべてのパッチを適用できる(ただしWord 2000用パッチはのぞく)。また,(1)のパッチについてはOffceのアップデートから,(2)と(3)のパッチはWindows Updateから適用できる。

 Windows 2000/XP/Server 2003において,IEの「ツール」バーなどから「Windows Update」を選択した場合,あるいはアドレス・バーに「http://windowsupdate.microsoft.com/」と入力した場合にアクセスするのは,従来のWindows Updateサイトである。Windows Updateサイトで表示される「Microsoft Update」へのリンクをクリックしたり,アドレス・バーに「http://update.microsoft.com/microsoftupdate/」と入力したりすれば,Microsoft Updateへアクセスできる。Microsoft Updateを一度でも利用すれば,その後は,「ツール」バーの「Windows Update」などからMicrosoft Updateへアクセスするようになる。

 パッチの適用対象は,(1)については,Office 2000 SP3あるいはOffice XP SP3を適用しているシステム。(2)については,Windows 2000 SP4,XP SP1/SP2,XP Professional x64 Edition,Windows Server 2003/Windows Server 2003 SP1,Windows Server 2003 x64 Edition。(3)については,Windows 2000 SP4上のIE 5.01 SP4/IE 6 SP1,XP SP1上のIE 6 SP1,XP SP2上のIE 6,Server 2003/Server 2003 SP1上の IE6,Me上のIE 5.5 SP2,98/98SE/Me上のIE 6 SP1。

 同日,マイクロソフトは「悪意のあるソフトウェアの削除ツール」の新版バージョン1.6を公開した。新版では「Hacty」「Optix」「Optipro」「Purstiu」「Wootbot」――といったウイルス(悪質なプログラム)にも対応した。同ツールを実行すれば,現在動作しているウイルスを検出し,実行中のウイルスのプロセスを停止するとともに,ハード・ディスク上のウイルス・ファイルを削除する。ただし,同ツールだけではウイルス対策として不十分である(関連記事)。

 同ツールはダウンロードセンターから入手できるほか,Windows XP環境ではWindows UpdateおよびMicrosoft Updateからも利用できる。また,「悪意のあるソフトウェアの削除ツール」のWebページからは,同ツールのActiveXコントロールを利用できる。ただし,現時点(7月12日)では新版にアップデートされていない模様。同ページの更新日付は「2005年6月20日」。同ページに「Webページでの提供には多少時間がかかります」と記述されているように,ダウンロードセンターでの公開と同ページでの公開にはタイムラグがある。

◎参考資料
2005年7月のセキュリティ情報
セキュリティ更新プログラム 2005年7月(Microsoft Securityホーム)
Microsoft Windows 悪意のあるソフトウェアの削除ツール (KB890830)
Microsoft Word の脆弱性により,リモートでコードが実行される (903672) (MS05-035)
マイクロソフト カラー管理モジュールの脆弱性によりリモートでコードが実行される (901214) (MS05-036)
JView プロファイラの脆弱性によりリモートでコードが実行される (903235) (MS05-037)
セキュリティ アドバイザリ (903144) COM オブジェクト (Javaprxy.dll) により,Internet Explorer が異常終了する

(勝村 幸博=IT Pro)