マイクロソフトは、月例化した脆弱性情報の3月分について公開した。Microsoft Outlook 2002、Microsoft MSN Messenger、Windows Mediaサービスのそれぞれに脆弱性が存在し、リモートコードの実行や情報漏えい、サービス拒否攻撃が可能になる、というもの。修正パッチは同社Webサイトからのダウンロード、またはWindows Updateから入手できる。

深刻度が一番高い「Outlook の脆弱性により、コードが実行される (828040) (MS04-009)」では、Outlook 2002のmailto URLの解析に脆弱点があり、ローカルコンピュータゾーンでスクリプトコードが実行される可能性がある。攻撃者がHTMLに埋め込んだmailtoのタグに特別な処理を行い、ユーザーがそのWebページ、またはHTMLメールを表示した場合に、任意のコードが実行される。ただしmailtoで起動する標準のアプリケーションがOutlook 2002であり、さらにOutlook Todayを「ホームページ」として設定している場合にのみ影響を受ける。修正パッチの適用のほか、公開されたばかりのOffice XP Service Pack 3を導入することでも対処できる。最大深刻度は上から2番目となる「重要」だ。

「MSN Messenger の脆弱性により、情報が漏えいする (838512) (MS04-010)」は、MSN Messenger 6.0/6.1に存在する脆弱性で、ファイルリクエストの処理に問題があり、攻撃者の特別なリクエストによって、ユーザーが気づかない間にファイルが閲覧される可能性がある、というもの。ただし、ユーザーのサイン名が攻撃者に知られており、[許可するメンバ]リストに攻撃者のアカウントが登録されている場合で、さらに攻撃者がファイルの場所を知っている必要がある。最大深刻度は「警告」。

「Windows Media サービスの脆弱性により、サービス拒否が起こる (832359) (MS04-008)」は、Windows 2000 ServerにWindows Media Services 4.1がインストールされている場合に影響を受ける。これはWindows Mediaサービスのコンポーネントである「Windows Media Station Service」と「Windows Media Monitor Service」のTCP/IP接続処理に問題が存在する、というもので、特別に細工されたTCP/IPパケットのシーケンスがいずれかのサービスに送信された場合、そのサービスはリクエストへの応答を停止、接続ができなくなる。Windows Mediaサービスは、ストリーミングコンテンツを配信するためのサービスで、このサービスはデフォルトではインストールされない。最大深刻度は「警告」だ。

今回公表された脆弱性の範囲は限定的だが、念のため該当ユーザーは修正パッチを適用しておくといいだろう。特にOffice XPユーザーは、同時に公開されているOffice XP SP3の導入をおすすめする。