マイクロソフトは15日、月例で提供しているセキュリティ情報の4月分を公開し、7つの脆弱性に対応するセキュリティ修正プログラム(パッチ)の提供を開始した。すでに2月に情報が公開され、悪用が確認されていたExcelの脆弱性を解消するパッチが公開されたほか、Internet Explorerの緊急の脆弱性などが含まれており、早急なパッチ適用が推奨されている。

Microsoft Office Excelの脆弱性により、リモートでコードが実行される(MS09-009)

MS09-009は、2月にセキュリティアドバイザリが公開され、これを悪用したウイルスが出回っていたメモリの破損の脆弱性を解消するパッチ。別のメモリの破損の脆弱性も合わせて解消されており、該当するユーザーは早急にパッチを適用すべきだ。

対象となるのはExcel 2000/2002/2003/2007、Office 2004/2008 for Mac、Excel Viewer、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックで、最大深刻度は全体でExcel 2000がもっとも深刻度の高い「緊急」、それ以外は2番目の「重要」、実際の悪用されやすさを示す「悪用可能性指標(Exploitability Index)」は実際に悪用されているので「1」または「2」となっている。

Internet Explorer用の累積的なセキュリティ更新プログラム(MS09-014)

MS09-014は、IEに含まれる6つの脆弱性を解消するパッチ。このうち2つの脆弱性は、悪用コード、または攻撃方法の詳細がネット上に公開されており、いずれの脆弱性を悪用されても、リモートでコードが実行される危険性がある。

対象となるのはWindows 2000上のIE5.01/6、Windows XP上のIE6、Windows XP/Vista/Server 2003/Server 2008上のIE7で、最大深刻度は「緊急」、悪用可能性指標は「1」~「3」までバラバラだが、悪用コードが登場した脆弱性もあるため、早急な対策が必要だろう。

また、今回のパッチを適用することで、08年5月に公開された、Windows版Safariを使った際の脆弱性も解消される。

Microsoft DirectShowの脆弱性により、リモートでコードが実行される(MS09-011)

MS09-011は、DirectXの機能の1つであるDirectShowコンポーネントが、MJPEGファイルを処理する方法に問題があり、リモートでコードが実行されるという脆弱性。DirectX 8.1がインストールされたWindows 2000、DirectX 9.0がインストールされているWindows 2000/XP/Server 2003が影響を受け、最大深刻度は「緊急」、悪用可能性指標は「2」となっている。

Windows HTTP サービスの脆弱性により、リモートでコードが実行される(MS09-013)

MS09-013は、WindowsのAPIであるWindows HTTPサービスに複数の脆弱性が存在し、リモートでコードが実行されたり、なりすましが行われたりといった危険性のある脆弱性。

対象となるOSはWindows 2000/XP/Vista/Server 2003/Server 2008で、最大深刻度は全体で「緊急」、悪用可能性指標は「1」で、すでに悪用コードが公開されていた脆弱性もあり、早急な対策が必要となっている。

ワードパッドおよびOfficeテキストコンバーターの脆弱性により、リモートでコードが実行される(MS09-010)

MS09-010は、ワードパッドやOfficeテキストコンバーターに複数の脆弱性が含まれ、特にWord 2000には緊急の脆弱性が含まれており、さらに一部の脆弱性はインターネット上に情報が公開されていた。

対象となるのはWindows 2000/XP/Server 2003、Office Word 2000/2002、Office Converter Packで、最大深刻度は全体で「緊急」、実際の悪用されやすさを示す「悪用可能性指標(Exploitability Index)」は「1」または「2」となっている。

その他の脆弱性情報

これらに加え、最大深刻度が「重要」の脆弱性として「Windows の脆弱性により、特権が昇格される(MS09-012)」と「Microsoft ISA ServerおよびForefront Threat Management Gateway(Medium Business Edition)の脆弱性により、サービス拒否が起こる(MS09-016)」、「警告」の脆弱性として「SearchPath の複合的脅威の脆弱性により、特権が昇格される(MS09-015)」のパッチが公開されている。