マイクロソフトは9日、日本時間の毎月第2水曜日に公開している月例のセキュリティパッチの提供を開始した。5月は、WordとDNSサーバに発覚していた0-day脆弱性2件を含む、最大深刻度「緊急」の修正パッチが7件公開された。

Microsoft Excel の脆弱性により、リモートでコードが実行される (934233) (MS07-023)

MS07-023は、(1)「Excel の BIFF レコードの脆弱性」、(2)「Excel のフォントの設定の脆弱性」、(3)「Excel のフィルタ レコードの脆弱性」により、リモートでコードが実行される危険性がある。

(1)については、不正な形式のBIFFレコードが含まれるExcelファイルを処理する際に、リモートでコードが実行されてしまう脆弱性が存在する。(2)は、Excelが細工されたフォント設定の値を含むExcelファイルを正しく処理できず、メモリ破損が起こり、リモートでコードが実行されてしまう脆弱性。(3)は、Excelが細工されたレコードを含むExcelファイルを開く際に、コンピュータがメモリの破損を起こし、任意のコードが実行されてしまう危険性があるものとなっている。

電子メールに添付されているExcelファイルや、Webサイト上に置かれているファイルを開くだけで、攻撃者に任意のコードの実行を許してしまう脆弱性で、ユーザーは早急な対応を求められる。

同社によると、いずれの脆弱性も本件公開までに一般には認知されておらず、かつ、この脆弱性を悪用した攻撃を示す情報を受け取っていないことを明らかにしている。

影響を受けるExcelのバージョンは、Excel 2000 SP3が最も深刻な「緊急」、Excel 2002 / 2003 SP3、Excel Viewer 2003、Excel 2007、Office 2004 for Macが「重要」となっており、全体で深刻度「緊急」となっている。

Microsoft Word の脆弱性により、リモートでコードが実行される (934232) (MS07-024)

MS07-024は、(1)「Word 配列のオーバーフローの脆弱性」、(2)「Word ドキュメントのストリームの脆弱性」、(3)「Word の RTF の解析の脆弱性」により、リモートでコードが実行される危険性があるもの。

(1)はWordが配列のデータを処理する方法に脆弱性が存在、リモートでコードが実行されてしまう脆弱性。(2)は、Wordドキュメントのストリームでオブジェクトを処理する方法に脆弱性が存在し、特別な細工が施されたファイルによってメモリが破損する可能性がある脆弱性。攻撃者によるリモートでのコード実行を許してしまう。(3)はWordがファイル内にある特定のリッチテキスト形式の文字を解析する方法に、リモートでコードが実行される脆弱性が存在するもの。解析する際にWordがデータの検証を十分に行わないことが原因で、攻撃者に任意のコードが実行され、メモリが破損する可能性がある。

(2)「Word ドキュメントのストリームの脆弱性」は、未知の脆弱性をついた攻撃、いわゆる0-day攻撃の状態にあり、同社は2月にセキュリティアドバイザリ「Microsoft Security Advisory (933052) Vulnerability in Microsoft Word Could Allow Remote Code Execution」を公開し、注意喚起を実施していた。同社はこの攻撃について「very limited, targeted attacks(非常に限定された、標的を絞った攻撃)」としていたが、MS07-024でこの問題に対処したことになる。そのほかの2つの脆弱性は一般に知られておらず、また攻撃もなかったとしている。

影響を受けるWordのバージョンは、Word 2000 SP3が「緊急」、Word 2002 SP3 / 2003 SP2、Word Viewer 2003、Works Suite 2004 / 2005 / 2006、Office 2004 for Macが「重要」。全体で「緊急」に対応が必要な脆弱性となっている。

Microsoft Office の脆弱性により、リモートでコードが実行される (934873) (MS07-025)

引き続き、Office関連の脆弱性となる。MS07-025は、Microsoft Officeに「描画オブジェクトの脆弱性」が存在し、悪用されるとリモートでコードが実行される可能性がある。Officeファイルの不正な形式の描画オブジェクトを処理する際に、メモリの破損が発生し、攻撃者に任意のコードが実行される危険性がある。

同社は、本件公開前にこの脆弱性が一般に知られていることはなく、また、この脆弱性が悪用されたという情報も受けていないことを明らかにしている。

対象となるOfficeのバージョンは、Office 2000 SP3が「緊急」、Office XP SP3/ 2003 SP2 / 2007 Office System / Office 2004 for Macが「重要」。

Microsoft Exchange の脆弱性により、リモートでコードが実行される (931832) (MS07-026)

MS07-026は、Microsoft Exchangeに関わる4つの脆弱性、「Outlook Web Access のスクリプト インジェクションの脆弱性」、「形式の正しくない iCal の脆弱性」、「MIME デコードの脆弱性」、「IMAP リテラル処理の脆弱性」が、リモートでコードを実行させる可能性があるもの。

同社によると、4つの脆弱性はいずれも、情報公開前に一般に知られることなく、また悪用されたという情報を受けていないという。

影響を受けるExchangeのバージョンは、Exchange 2000 SP3、Exchange Server 2003 SP1 / SP2、Exchange Server 2007で「緊急」。

Internet Explorer 用の累積的なセキュリティ更新プログラム (931768) (MS07-027)

MS07-027は、Internet Explorer(IE)の5つの脆弱性、「COM オブジェクトのインスタンス化のメモリ破損の脆弱性」、「初期化されていないメモリの破損の脆弱性」、「プロパティのメモリ破損の脆弱性」、「HTML オブジェクトのメモリ破損の脆弱性」、「任意のファイルの書き換えの脆弱性」により、リモートでコードが実行される危険性があるもの。

「COM オブジェクトのインスタンス化のメモリ破損の脆弱性」は、情報公開前より「CVE-2007-0942」として知られていたものだが、同社によると、セキュリティパッチの提供前に攻撃が行われたとの報告は受けていないという。

影響を受けるのは、Windows 2000 SP4上のIE 5.01 SP4 / IE6 SP1、Windows XP SP2のIE 6 / 7、Windows Server 2003のIE 6 SP1 / SP2とIE 7、Windows VistaのIE 7。Windows Server 2003環境のみ「警告」で、その他は全て「緊急」。全体の深刻度は「緊急」となっている。

攻撃者はこれらの脆弱性を悪用したWebサイトを用意し、サイトに訪問したユーザーのコンピュータを乗っ取ろうとする危険性もある。Windows Vista上のIE 7においても、5つの脆弱性の内、2つは「重要」、2つは「緊急」となっているので、ユーザーは早急に対応する必要がある。

CAPICOM の脆弱性により、リモートでコードが実行される (931906) (MS07-028)

MS07-028は、ActiveXコントロール「CAPICOM.Certificates」に想定外のデータが送信された場合、リモートでコードが実行される危険性があるというもの。

影響を受ける製品は、Microsoft BizTalk Server 2004で、脆弱性の深刻度は「緊急」。

Windows DNS の RPC インターフェイスの脆弱性により、リモートでコードが実行される (935966) (MS07-029)

MS07-029には「DNS の RPC 管理の脆弱性」により、リモートでコードが実行される危険性がある。

同社が4月にセキュリティアドバイザリ「Microsoft Security Advisory (935964) Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.」を公開している既知の脆弱性で、その後、この脆弱性を悪用する新種のボットも登場しており、いわゆる0-day攻撃の状態にあった。

影響を受ける製品は、Windows 2000 SP4、Server 2003 SP1 / SP2などで、いずれも「緊急」。全体の深刻度も「緊急」となっている。