マイクロソフト セキュリティホーム

マイクロソフトは12日、月例で提供しているセキュリティ更新プログラムの5月分を公開した。影響の大きさを示す最大深刻度が最も高い「緊急」の脆弱性が2件公開されており、影響を受けるユーザーは早急のパッチ適用が推奨されている。

Outlook Express および Windows メールの脆弱性により、リモートでコードが実行される (978542)(MS10-030)

MS10-030は、Windows標準のメールクライアント「Outlook Express」または「Windowsメール」「Windows Liveメール」に脆弱性が存在するというもの。これらのソフトで使われている共通ライブラリにおいて、必要なバッファサイズの計算で正しい検証が行われないため、整数オーバーフローが発生、リモートでコードが実行される危険性がある。攻撃者のメールサーバーに接続し、POP3/IMAP4応答で攻撃が行われるほか、中間者攻撃の危険性もあるという。

対象となるのはWindows 2000 / XP / Server 2003上のOutlook Express 6、Windows Vista / 7 / Server 2008上のWindowsメール、Windows XP / Vista / 7 / Server 2003 / 2008上のWindows Liveメールで、最大深刻度は「緊急」、悪用可能性指標(EI)は「2」。

Microsoft Visual Basic for Applications (VBA) の脆弱性により、リモートでコードが実行される (978213)(MS10-031)

MS10-031は、Microsoft Officeに含まれる開発言語であるVisual Basic for Applications(VBA)がActiveXコントロールを検索する方法に問題があり、リモートで任意のコードが実行される危険性がある。ユーザーがWord/Excel/PowerPointなどのVBAをサポートするファイルを開く場合に攻撃が行われる可能性がある。

対象となるのはOffice XP / 2003 / 2007で、最大深刻度は「緊急」、悪用可能性指標(EI)は「2」となっている。