今回公開されたセキュリティ情報の例
今回公開されたセキュリティ情報の例
[画像のクリックで拡大表示]

 マイクロソフトは2008年4月9日、WindowsやInternet Explorer(IE)、Microsoft Officeに関するセキュリティ情報を8件公開した。そのうち5件は、最大深刻度(危険度)が最悪の「緊急」。細工が施されたWebページやファイルを開くだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)の適用。

危険な「緊急」は5件

 最大深刻度が「緊急」のセキュリティ情報は以下の5件。いずれの情報にも、ウイルスなどを勝手に実行される恐れがある、危険な脆弱(ぜいじゃく)性が含まれる。

(1)[MS08-018]Microsoft Projectの脆弱性により、リモートでコードが実行される (950183)
(2)[MS08-021]GDIの脆弱性により、リモートでコードが実行される (948590)
(3)[MS08-022]VBScriptおよびJScriptスクリプトエンジンの脆弱性により、リモートでコードが実行される (944338)
(4)[MS08-023]ActiveX Kill Bit用のセキュリティ更新プログラム (948881)
(5)[MS08-024]Internet Explorer用の累積的なセキュリティ更新プログラム (947864)

 (1)は、Microsoft Officeのプロジェクト管理ソフト「Microsoft Project」に関するセキュリティ情報。影響を受けるのは、Project 2000/2002/2003。これらのProjectには、Projectファイルを処理する方法に脆弱性が見つかった。このため、細工が施されたProjectファイルを読み込むと、中に仕込まれたウイルスなどを実行される恐れがある。なお、Project 2007やProject Server 2003/2007、Project Portfolio Server 2007は影響を受けない。

 (2)は、Windowsに含まれるGDI(Graphics Device Interface)に関するセキュリティ情報。GDIとは、グラフィックス処理を行うプログラム(コンポーネント)。ディスプレイやプリンターなどにグラフィックスを出力する際に使用される。

 今回GDIに見つかった脆弱性は、Windowsメタファイル(WMF)および拡張メタファイル(EMF)形式の画像処理に関するもの。細工が施されたWMF/EMFファイルを処理しようとすると、バッファーオーバーフローという問題が発生して、ファイルに仕込まれた悪質なプログラムを実行される恐れがある。

 このため、Windowsで動作するアプリケーションで、悪質なWMF/EMFファイルを開くだけで被害に遭う。悪質ファイルが貼られたWebページや文書ファイル、HTMLメールなどを開くだけでも、ウイルスなどを勝手に実行される危険性がある。

 現在サポート対象となっているすべてのWindows(Windows 2000 SP4/XP SP2/Server 2003 SP1/Server 2003 SP2/Vista /Vista SP1/Server 2008)が影響を受ける。

この先は会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら