マイクロソフトは12日、月例で提供しているセキュリティ更新プログラム(月例パッチ)の3月分を公開した。危険度を表す最大深刻度が最も高い「緊急」の脆弱性が4件公開されており、該当するユーザーは至急パッチを適用する必要がある。これを適用することで、北京オリンピックを題材にしたウイルスが攻撃に使う脆弱性も解消される。
MS08-014
「MS08-014 Microsoft Excel の脆弱性により、リモートでコードが実行される(949029)」は、Excelに複数の脆弱性が存在。データ検証レコード、ファイルインポート、式解析、マクロ検証など7つの脆弱性があり、Excel 2000 Service Pack(SP) 3/2003 SP3/2003 SP2/2007、Excel Viewer、Word/Excel/PowerPoint 2007ファイル形式用互換機能パック、Office 2004/2008 for Macが影響を受ける。個別の最大深刻度は、Excel 2000のみ「緊急」で、それ以外は「重要」、全体では「緊急」。なお、Excel 2003 SP3/2007 SP1は影響を受けない。
MS08-014は、1月にセキュリティアドバイザリが公開され、北京オリンピックのスケジュール表などに見せかけたExcelファイルで攻撃するウイルスでも悪用されたExcelの脆弱性については今回の月例パッチで解消されている。
MS08-015
「MS08-015 Microsoft Outlook の脆弱性により、リモートでコードが実行される(949031)」は、Outlookの複数のバージョンにリモートでコードが実行される「OutlookのURIの脆弱性」が存在。特殊な細工がされた「mailto」のURIが実行された時に内容を十分に検証しないことで、リモートでコードが実行され、コンピュータの完全な制御が奪取されるというもの。
影響を受けるのはOutlook 2000 SP3/2002 SP3/2003 SP2/2007で、Outlook 2007 SP1は影響を受けない。最大深刻度はいずれのバージョンも「緊急」。
MS08-016
「MS08-016 Microsoft Office の脆弱性により、リモートでコードが実行される(949030)」は、Officeが不正なExcelファイルを表示する際にセルを解析する方法に問題があり、リモートでコードが実行されるという脆弱性と、不正なExcelファイルによってメモリ破損が起きてリモートでコードが実行されるという2つの脆弱性が存在。いずれもコンピュータの制御が完全に奪われる危険性がある。
影響を受けるのはOffice 2000 SP3/XP SP3/2003 SP2、Excel Viewer 2003/Excel Viewer SP3、Office 2004 for Mac。最大深刻度はOffice 2000のみ「緊急」で、その他は「重要」、全体の深刻度は「緊急」。
MS08-017
「MS08-017 Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される(933103)」は、Officeに含まれるWebコンポーネントに2つの脆弱性が存在、いずれもリモートでコードが実行され、コンピュータの制御が完全に奪われるというもの。
影響を受けるのはOffice 2000 SP3/XP SP3に加え、Visual Studio .NET 2002 SP1/2003 SP1、BizTalk Server 2000/2002、Commerce Server 2000、ISA(Internet Security and Acceleration) Server 2000 SP2。いずれも最大深刻度は「緊急」。
今回の月例パッチはすべてOffice製品を対象としたため、Office製品を使っていないユーザーには影響がなく、悪意のあるソフトウェアの削除ツール(MSRT)のみが配布される。ただし、Office Webコンポーネントの脆弱性に関しては、開発ツールとサーバ製品も影響があるため、特に企業ユーザーは注意が必要だ。
なお、先月の月例パッチで公開延期になったパッチに関しては今回も提供されていない。
