Windows HotFix Briefings ALERT

セキュリティ情報
1.緊急レベル3件を含む4件のセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2007/01/16
 
本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2007年1月10日に、MS07-001〜004の合計4件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は、最も緊急性の高い「緊急」レベルが3件、「重要」レベルが1件である。詳細な技術情報だけでなく、実証コードや攻撃例が報告されたものも含まれており、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS07-001921585
Microsoft Office 2003 のポルトガル語 (ブラジル) の文章校正プログラムの脆弱性により、リモートでコードが実行される
最大深刻度 重要
報告日 2007/01/10
MS Security# MS07-001
MSKB# 921585
対象環境 Office 2003
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-001

セキュリティ・ホールの概要と影響度

 Office 2003のポルトガル語(ブラジル)版の文章校正プログラムに未チェック・バッファの脆弱性が存在し、任意のコードが実行される危険性がある。細工されたOffice文書を開くだけで攻撃が実行されるので危険性は高いが、日本語版のOffice 2003にはこの機能は含まれておらず、脆弱性の影響を受けることはない。

 脆弱性の対象となる環境は、(1)ポルトガル語(ブラジル)版のOffice 2003、(2)Office 2003/Project 2003/Visio 2003の各Multilingual User Interface(MUI)版でポルトガル語(ブラジル)文章校正プログラムを有効にしている場合、(3)文章校正プログラムOffice Proofing Tools 2003をインストールし、さらにポルトガル語(ブラジル)の文章校正プログラムを有効にしている場合、の3つである。

 (3)のOffice Proofing Tools 2003はOffice 2003日本語版でも利用できるので、これを追加インストールしている場合や、海外(特にブラジル圏)と取引のある企業でOffice 2003 MUI版を使っているような場合はインストールしておくべきである。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Office 2003 Office 2003 SP2 ポルトガル語(ブラジル)版、Office 2003 Multilingual User Interface SP2
Office Proofing Tools 2003 Office Proofing Tools 2003 SP2
Project 2003 Project 2003 Multilingual User Interface SP2
Visio 2003 Visio 2003 Multilingual User Interface SP2

適用に関する注意点

■スペイン語版も脆弱性の影響を受ける可能がある
 TechNetセキュリティ情報の「このセキュリティ更新プログラムに関するよく寄せられる質問」によれば、MS07-001の脆弱性は、ポルトガル語(ブラジル)版だけでなく、スペイン語版についても修正プログラムを適用することを推奨している。スペイン語版の文章校正プログラムをインストールしている場合も、修正プログラムを適用しておくのがよい。
 
[緊急] MS07-002927198
Microsoft Excel の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/01/10
MS Security# MS07-002
MSKB# 927198
対象環境 Excel 2000/2002/2003
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-002

セキュリティ・ホールの概要と影響度

 Excelに関する5種類の脆弱性が公表され、そのための修正プログラムが公開された。細工されたXLSファイルを開くと、レコード処理や文字列処理などでメモリ破損が引き起こされ、リモートで任意のコードが実行される危険性がある。対象となる脆弱性は以下のとおりである。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Excel 2000 Office 2000 SP3
Excel 2002 Office XP SP3
Excel 2003 Office 2003 SP2
Excel Viewer 2003 Excel Viewer 2003

適用に関する注意点

■Excel 2000の修正プログラムで不具合発生につき、適用を見合わせる必要あり
 MS07-002は(Office 2000の)Excel 2000も対象としているが、この修正プログラム(2007年1月10日に公開された版)を適用すると、.XLSファイルが開けなくなることがある、という不具合が確認されている。セキュリティ関連の掲示板やメーリング・リストなどでも不具合例などが多数報告されており、不具合の発生率は非常に高い。

 この不具合を避けるための対策は「MS07-002をインストールしないこと」である。1度インストールしてしまうと、この修正プログラムだけを単独でアンインストールすることはできない(Office 2000向けの修正プログラムはアンインストール機能を持たない)。もしインストールしてしまった場合は、Excel 2000(Office 2000)のアンインストールと再インストールが必要になる。そのため、当面はExcel 2000用のMS07-002はインストールしないようにするべきである。過去の例では、このような場合は修正プログラムが再リリースされるので、それまで適用を待つのがよい。ただし、それまではMS07-002で説明される脆弱性が解消できないので、信用できないExcel文書は開かない、あるいはExcel 2000の代わりにExcel 2002/2003やExcel Viewer 2003を利用する、といった回避策を実行する必要がある。

■Excel 2000向けはOffice Updateで提供
 Excel 2000向けのMS07-002の修正プログラムはダウンロード・センターとOffice Updateで提供されている。自動更新やWindows Update、Microsoft Updateでは提供されないため、必要ならば手動でOffice Updateなどを実行し、適用する必要がある。ただし上記のように、当初公開された修正プログラムでは不具合が見つかっているため、当面は適用を行わないようにしていただきたい。
 
 

 INDEX
  [Windows HotFix Briefings ALERT]
  1.緊急レベル3件を含む4件のセキュリティ修正が公開(1)
    2.緊急レベル3件を含む4件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT