マイクロソフトは12日、3月の月例セキュリティ更新プログラム(修正パッチ)4件を公開した。公開された「MS08-014」「MS08-015」「MS08-016」「MS08-017」の4件は、いずれもOffice製品に関連する脆弱性で、脆弱性の最大深刻度はいずれも4段階で最も高い“緊急”となっている。
MS08-014は、Excelに関する7件の脆弱性を修正する。いずれの脆弱性も悪用された場合には、Excelファイルを開いただけで任意のコードを実行させられる危険がある。脆弱性の影響があるのは、Excel 2007/2003/2002/2000、Excel Viewer 2003、Office互換機能パックおよびOffice for Mac 2008/2004。脆弱性の深刻度はExcel 2000のみが“緊急”、その他は4段階で上から2番目の“重要”となっている。
MS08-014で修正している脆弱性のうち、マクロ検証の脆弱性(CVE-2008-0081)は既に攻撃コードが確認されているもので、マイクロソフトでも1月にセキュリティアドバイザリを公開している。また、3月には北京オリンピックの日程表ファイルを装ったウイルスが出回っているという報告がセキュリティベンダーから出されているが、このウイルスが利用している脆弱性がCVE-2008-0081で、今回のパッチで脆弱性が修正された。
MS08-015は、Outlookに関する脆弱性を修正する。Outlookが「mailto」のURLを処理する際に脆弱性があり、Outlookを既定のメーラーに設定していた場合、ユーザーが悪意のあるリンクをクリックしただけで任意のコードを実行される危険がある。脆弱性の影響があるのはOutlook 2007/2003/2002/2000で、脆弱性の深刻度はいずれも“緊急”。また、Outlook 2007 SP1およびOutlook Expressには影響がない。
MS08-016は、Officeの共通コンポーネントに関する2件の脆弱性を修正する。この脆弱性を悪用された場合には、Office文書ファイルを開いただけで任意のコードを実行させられる危険がある。脆弱性の影響があるのはOffice 2003/XP/2000、Excel Viewer 2003およびOffice 2004 for Mac。脆弱性の深刻度はOffice 2000のみが“緊急”で、その他は“重要”となっている。
MS08-017は、Office Webコンポーネントに関する2件の脆弱性を修正する。Office Webコンポーネントは、HTML形式で保存するExcelのグラフやスプレッドシートなどに対話機能を追加できる機能。このため、この脆弱性が悪用された場合には、悪意のあるファイルが含まれるWebサイトを閲覧するだけで、任意のコードを実行させられる危険がある。影響を受けるソフトウェアは、Office関連ではOffice XP/2000のみ。また、Visual Studio .NET 2003/2002、BizTalk Server 2002/2000、Commerce Server 2000、ISA Server 2000の各製品にもこのコンポーネントが含まれるため、脆弱性の影響を受ける。脆弱性の深刻度はいずれの製品でも“緊急”。
関連情報
■URL
マイクロソフト 2008年3月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx
■関連記事
・ 北京五輪関連のファイルを装い、Excelの未修正の脆弱性を悪用するウイルス(2008/03/11)
( 三柳英樹 )
2008/03/12 14:26
- ページの先頭へ-
|