 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
マイクロソフト、Office製品を対象にした「緊急」セキュリティパッチ4件を公開 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
マイクロソフト株式会社は3月12日、月例セキュリティ更新プログラム(パッチ)を4件公開した。いずれもMicrosoft Office製品の脆弱性を修正するもので、最大深刻度はすべて、もっとも高い「緊急」。同社 セキュリティレスポンスチームの小野寺匠氏は、「Windowsのみを利用している一般ユーザーは基本的に影響を受けないが、Office 2000~2007を利用していると、最大4件配信される」とコメントしている。 更新プログラムのうち「MS08-014」では、Excelに存在する複数の脆弱性を修正した。ユーザーが特別な細工が施されたExcelファイルを表示した場合に、リモートでコードが実行される可能性がある。なお、MS08-014に含まれる脆弱性の中で、マクロ検証の脆弱性(CVE-2008-0081)についてはすでに悪用が確認されているため、早急な適用が推奨されている。 対象と深刻度は、Excel 2000 SP3が「緊急」、Excel 2002 SP3/2003 SP2/2007が上から2番目の「重要」。また、Excel Viewer 2003や、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Mac向けのOffice 2004 for Mac/2008 for Macも「重要」となっている。Excel 2003 SP3/2007 SP1は影響を受けない。 「MS08-015」では、Outlookの脆弱性を修正した。攻撃者によって細工されたmailto URIがクライアントへ渡された場合、リモートからコードが実行される可能性がある。「メールを開いただけでは影響を受けず、基本的にはWebサイトなどでのmailtoのクリックが必要。既定のメーラーがOutlookでないと影響はうけにくい」(小野寺氏)というが、複雑な手順を踏めば攻撃は不可能ではないため、そうした場合でもパッチの適用は推奨するとのこと。対象は、Outlook 2000 SP3/2002 SP3/2003 SP2以降/2007で、いずれも深刻度は「緊急」である。Outlook 2007 SP1は影響を受けない。 次の「MS08-016」は、Microsoft Officeに存在する2件の脆弱性を修正するもの。「脆弱性のあるコンポーネントはOfficeの共通モジュールであるものの、実際にはExcelが悪用の入り口で、Excelファイルを開いたときに影響を受ける可能性がある」(小野寺氏)という。対処したのは、セル解析のメモリ破損の脆弱性と、メモリ破損の脆弱性で、いずれも悪用されると、リモートからコードが実行される可能性がある。深刻度は、Office 2000 SP3が「緊急」、Office XP SP3/2003 SP2/2004 for Macと、Excel Viewer 2003、同 SP3が「重要」。 【3/12 15:45追記】 マイクロソフトによれば、Excelが攻撃の入り口となるのは、MS08-016で修正されたうち1つ目の脆弱性(CVE-2008-0113)で、2つ目の脆弱性(CVE-2008-0118)は、Excel以外でも影響を受けるとのこと。 最後の「MS08-017」では、Office Web Component(OWC)の脆弱性に対処した。OWCとは、Web上などでグラフやピボットテーブルを表示したり、簡易的に編集したりできるようにするコンポーネント。クライアントで利用されるだけでなく、一部のサーバー製品にも取り込まれ、「管理コンソールで管理情報を表示する時などに用いられているため、企業での確認漏れに注意したい」(小野寺氏)。この脆弱性も、悪用されるとリモートからコードが実行される可能性がある。 対象は、Office 2000 SP3/XP SP3、Visual Studio .NET 2002 SP1/2003 SP1、BizTalk Server 2000/2002、Commerce Server 2000、ISA Server 2000 SP2。深刻度はすべて「緊急」となっている。 このほか、セキュリティ以外の優先度の高い更新プログラムや、「Microsoft Windows悪意のあるソフトウェアの削除ツール」の更新版も提供されている。 ■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/ 2008年3月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/MS08-mar.mspx Microsoft Excelの脆弱性により、リモートでコードが実行される(MS08-014) http://www.microsoft.com/japan/technet/security/bulletin/ms08-014.mspx Microsoft Outlookの脆弱性により、リモートでコードが実行される(MS08-015) http://www.microsoft.com/japan/technet/security/bulletin/ms08-015.mspx Microsoft Officeの脆弱性により、リモートでコードが実行される(MS08-016) http://www.microsoft.com/japan/technet/security/bulletin/ms08-016.mspx Microsoft Office Webコンポーネントの脆弱性により、リモートでコードが実行される(MS08-017) http://www.microsoft.com/japan/technet/security/bulletin/ms08-017.mspx
( 石井 一志 )
|
