マイクロソフトは2007年10月10日、Internet Explorer(IE)や「Outlook Express」「Word」などに関するセキュリティ情報を6件公開した。そのうち、最大深刻度(危険度)が最悪の「緊急」に設定されているのは4件。細工が施されたWebページやファイルを開くだけで被害に遭う脆弱(ぜいじゃく)性が含まれる。対策は、同日公開された修正パッチ(セキュリティ更新プログラム)を適用すること。

 今回公開されたセキュリティ情報は6件。マイクロソフトが10月5日に公表した事前告知では、7件のセキュリティ情報を公開するとしていたが、1件に品質上の問題が見つかったため、今回の公開は見合わせた。

 6件中、最大深刻度が「緊急」に設定されているのは以下の4件。

(1)[MS07-055]Kodak Image Viewerの脆弱性により、リモートでコードが実行される (923810)
(2)[MS07-056]Outlook ExpressおよびWindowsメール用の累積的なセキュリティ更新プログラム (941202)
(3)[MS07-057]Internet Explorer用の累積的なセキュリティ更新プログラム (939653)
(4)[MS07-060]Microsoft Wordの脆弱性により、リモートでコードが実行される (942695)

 (1)は、Winows 2000に同こんされている画像表示ソフト「Kodak Image Viewer」の脆弱性に関する情報。Kodak Image Viewerには、特定の画像ファイルを処理する方法に問題が見つかった。このため、細工が施された画像ファイルを開くと、中に仕込まれた悪質なプログラム(ウイルスなど)を実行される危険性がある。悪質な画像ファイルがWebサイトに置かれている場合には、そのWebサイトにアクセスしただけで被害に遭う恐れがある。

 (1)の影響を受けるのはWindows 2000。Windows 2000からアップデートしたWindows XPとWindows Server 2003も影響を受ける。Kodak Image Viewerが含まれるのはWindows 2000だけだが、Windows 2000からWindows XPやWindows Server 2003にアップデートした場合には、Kodak Image Viewerがそのまま残るためだ。

 Windows XPやWindows Server 2003を新規にインストールしたパソコンには、Kodak Image Viewerがインストールされていないので影響を受けない。

 (2)は、メールソフトのOutlook Express 5.5/6およびWindowsメールのセキュリティ情報。Outlook ExpressとWindowsメールには、ネットニュースの通信(NNTP)の処理に問題が見つかった。このため、ユーザーが攻撃者のWebサイトにアクセスした後、細工が施されたデータをNNTPで送信されると、データに含まれる悪質なプログラムを実行される恐れがある。

 (3)は、IE 5.01/6/7が影響を受けるセキュリティ情報。同情報には、アドレスバーの偽装を許す脆弱性が3件、エラー処理に関する脆弱性が1件含まれる。

 前者の脆弱性を悪用するWebサイト(ページ)を作成すれば、実際とは異なるアドレス(URL)をIEのアドレスバーに表示されることができる。例えば、フィッシング詐欺に悪用可能。また、前者の脆弱性の3件中2件は、第三者によってインターネット上で事前に公表されているという。

 ただし、「今回の脆弱性を悪用したアドレスバーの偽装は容易に見抜ける」(マイクロソフトのセキュリティレスポンス マネージャ 小野寺匠氏)ものであり、同社では、実際に悪用されたという報告を受けていないという。

 後者の「エラー処理に関する脆弱性」は、アドレスバーの偽装を許す脆弱性よりも深刻。詳細は明らかにされていないものの、細工が施されたWebサイトにアクセスするだけで、悪質なプログラムを実行される危険性がある。

 (4)は、Word 2000/2002および「Office 2004 for Mac」が影響を受けるセキュリティ情報。Wordには、特定のデータを含むファイルの処理に問題がある。このため、細工が施されたWord文書ファイルを読み込むと、ファイルに仕込まれた悪質なプログラムを実行される恐れがある。

 同社では、(4)の脆弱性は事前に公表されていなかったものの、この脆弱性が悪用されたという報告は受けたとしている。つまり、未公表の脆弱性を悪用する攻撃、いわゆる「ゼロデイ攻撃」に使われたと考えられる。

 最大深刻度が上からの2番目の「重要」に設定されているのは、以下の2件。

(5)[MS07-058]RPC の脆弱性により、サービス拒否が起こる (933729)
(6)[MS07-059]Windows Services for UNIX の脆弱性により、特権の昇格が起こる (939778)

 (5)は、サポート対象のすべてのWindows(Windows 2000/XP/Server 2003/Vista)に関するセキュリティ情報。Windowsが備えるRPC(リモートプロシージャコール)機能には不具合が存在するため、細工が施されたデータを送信されると、Windowsパソコンが勝手に再起動される恐れがある。悪質なプログラムを実行される危険性はない。

 (6)は、Windows Server 2003の「Windows SharePoint Services 3.0」およびサーバーソフト「Office SharePoint Server 2007」に関するセキュリティ情報。これらには入力データの処理に問題があるため、これらを動作させている「SharePointサーバー」経由で、悪質なプログラム(スクリプト)をユーザーに送り込まれる恐れがある。

 いずれの脆弱性についても、同日公開された修正パッチを適用することが対策となる。「Microsoft Update」から適用できる。自動更新機能を有効にしていれば自動的に適用される。Office製品に関する修正パッチについては「Office のアップデート」から、Windowsに関する修正パッチについては「Windows Update」からも適用可能。

 それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正パッチをダウンロードできる。なお、Mac版Office用の修正パッチについては、セキュリティ情報のページからのみ入手可能。