Windows HotFix Briefings ALERT

セキュリティ情報
1.7件の緊急レベルのセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2007/05/14

本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストで簡潔にまとめて報告する。脆弱性に関するより詳細な情報については、関連BBSなどを参照していただきたい。

 マイクロソフトは、月例の修正プログラム公開日である2007年5月9日に、MS07-023〜029の合計7件の脆弱性情報を公表し、修正プログラムの提供を開始した。7件ともすべて、最大深刻度が、最も緊急性の高い「緊急」レベルである。詳細な技術情報だけでなく、実証コードや攻撃例が報告されたものも含まれており、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS07-023934233
Microsoft Excel の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/05/09
MS Security# MS07-023
MSKB# 934233
対象環境 Excel 2000/Excel 2002/Excel 2003/Excel 2007
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-023

セキュリティ・ホールの概要と影響度

 Excelのレコード処理やフォント設定の値の処理において、メモリ破損を引き起こす3種類の脆弱性が存在し、細工されたXLSファイルを開くと、任意のコードが実行される危険性がある。3件の脆弱性は次のとおりである。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Excel 2000 Office 2000 SP3
Excel 2002 Office XP SP3
Excel 2003 Office 2003 SP2
Excel Viewer 2003 Excel Viewer 2003
Excel 2007 Office 2007
Office互換機能パック Office 2000 SP3/Office XP SP3/Office 2003 SP2+Office互換機能パック

適用に関する注意点

■Excel向けとOffice互換機能パック向けの修正プログラムは別
 Office 2000/XP/2003にOffice互換機能パックをインストールすると、Office 2007フォーマットの読み書きが可能になるが(TIPS「互換機能パックを使ってOffice 2007のファイルを読み書きする」参照)、この場合は、Office互換機能パック向けの修正プログラムも併せて適用しなければならない。

■Excel 2000向けはOffice Updateで提供
 MS07-023のExcel 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft Update(MU)ではOffice 2000は対象外であるため、MUではExcel 2000向け修正プログラムは適用できない。

 
[緊急] MS07-024934232
Microsoft Word の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/05/09
MS Security# MS07-024
MSKB# 934232
対象環境 Word 2000/Word 2002/Word 2003
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-024

セキュリティ・ホールの概要と影響度

 Wordにおけるドキュメント・ストリーム処理や配列のデータ処理、リッチ・テキスト形式(RTF)の文字を解析する処理に、それぞれ脆弱性が存在し、リモートで任意のコードが実行される危険性がある。脆弱性の内容は次のとおりである。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Word 2000 Office 2000 SP3
Word 2002 Office XP SP3
Word 2003 Office 2003 SP2
Word Viewer 2003 Word Viewer 2003

適用に関する注意点

■Word 2000向けはOffice Updateで提供
 MS07-024のWord 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft Update(MU)ではOffice 2000は対象外であるため、MUではWord 2000向けの修正プログラムは適用できない。

 
[緊急] MS07-025934873
Microsoft Office の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/05/09
MS Security# MS07-025
MSKB# 934873
対象環境 Office 2000/Office XP/Office 2003/Office 2007
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-025

セキュリティ・ホールの概要と影響度

 Officeが描画オブジェクトを処理する方法に脆弱性が存在し、細工されたOfficeファイルを開くと、任意のコードが実行される危険性がある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Office 2000 Office 2000 SP3
Office XP Office XP SP3
Office 2003 Office 2003 SP2
Office 2007 Office 2007

適用に関する注意点

■複数のOfficeのバージョンがインストールされている場合
 脆弱性の対象となっている「MSO9.DLL/MSO.DLL」は、Officeのバージョンごとに提供されており、異なるフォルダにインストールされている。そのため複数のOfficeのバージョンがインストールされている環境では、各Office向けの修正プログラムを個別に適用する必要がある。

■Office 2000向けはOffice Updateで提供
 MS07-025のOffice 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft Update(MU)ではOffice 2000は対象外であるため、MUではMS07-025のOffice 2000向けの修正プログラムは適用できない。

 
[緊急] MS07-026931832
Microsoft Exchange の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/05/09
MS Security# MS07-026
MSKB# 931832
対象環境 Exchange 2000 Server/Exchange Server 2003/Exchange Server 2007
再起動 不要
HotFix Report BBSスレッド MS07-026

セキュリティ・ホールの概要と影響度

 Exchange ServerのMIMEデコード処理などに脆弱性が存在し、細工した電子メールを受信すると、Exchange Serverが実行されているコンピュータ上で任意のコードが実行されたり、サービス拒否が起きたりする危険性がある。最悪の場合、Exchange Serverを実行しているコンピュータの制御が完全に奪われる可能性がある。またExchange ServerのOutlook Web Access(OWA)にスクリプト・インジェクションの脆弱性も存在する。細工された電子メールをOWAで開くと、メッセージ内のスクリプトがユーザーのコンピュータ上で実行されてしまう。脆弱性の内容は次のとおりである。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Exchange 2000 Server Exchange 2000 Server SP3+KB870540 ロールアップ
Exchange Server 2003 Exchange Server 2003 SP1/SP2
Exchange Server 2007 Exchange Server 2007

適用に関する注意点

■Exchange Server 2007向けの修正プログラムはロールアップ更新プログラム
 Exchange Server 2007向けのMS07-026の修正プログラムは、脆弱性を解消するだけのものではなく、過去の不具合修正などを含むロールアップ更新プログラムである。そのため適用前には十分な検証作業を行うことが望ましい。

■Exchange Server 2003向け修正プログラムはSP1向けとSP2向けのファイル名が同じなので注意
 MS07-026のExchange Server 2003 SP1向けとSP2向けの修正プログラムはファイル名が「Exchange2003-KB931832-x86-JPN.exe」とまったく同じである。しかしExchange Server 2003 SP1向けとSP2向けでは、置き換わるファイルなどが異なっているので注意すべきだ。

 
 

 INDEX
  [Windows HotFix Briefings ALERT]
  1.7件の緊急レベルのセキュリティ修正が公開(1)
    2.7件の緊急レベルのセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH