セキュリティ・ホールの概要と影響度

　 Windows 2000のMicrosoftエージェント・コントロールがURLを処理する過程に脆弱性が存在し、細工されたURLを受け取ると、任意のコードが実行される危険性がある。Microsoftエージェントとは、アニメーションによるキャラクターを用いたユーザー・インターフェイス技術であり、Windows OSに標準で組み込まれている。この脆弱性により、細工済みのWebページをInternet Explorer（IE）で開くだけで攻撃が実行されてしまうおそれがある。なお、Windows XP／Windows Server 2003／Windows Vistaはこの脆弱性の影響を受けない。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用時の注意点

■MS07-051の修正プログラムにはMS06-068は含まれない
Microsoftエージェントの脆弱性は、過去にMS05-032／MS06-068／MS07-020でも解消されている。MS07-051の修正プログラムは、このうちMS05-032／MS07-020を置き換えるものの、MS06-068を置き換えることができない。もしMS06-068の修正プログラムが未適用ならば、MS07-051と併せて適用したほうがよい。

セキュリティ・ホールの概要と影響度

　Crystal ReportsがRPTファイル（Crystal Reportsのレポート定義ファイル）を処理する過程に脆弱性が存在し、任意のコードが実行される危険性がある。Crystal Reportsとは、Business Objectsが開発・提供しているレポーティング・ツールのことで、Visual Studioにもそのカスタム・バージョンが採用されているため、この脆弱性の影響を受ける。攻撃の手段としては、細工済みのRPTファイルを電子メールで送信してユーザーに閲覧させることなどが考えられる。この脆弱性の実証コードは公開済みのため、攻撃に悪用されることが懸念される。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用時の注意点

■Crystal Reportsがインストールされている環境は別途修正プログラムの適用が必要
MS07-052の脆弱性の実体はCrystal Reportsに存在するため、Crystal Reports製品あるいはCrystal Reportsのカスタム・バージョンを採用した製品もその影響を受ける。こうした製品を利用している場合は、その製品を提供しているベンダに修正プログラムの有無を確認のうえ、早急に適用したほうがよい。

■Visual Studio .NET 2002／2003向け修正プログラムは手動で適用する必要あり
MS07-053のVisual Studio .NET 2002／2003向け修正プログラムは、Windows Update／Microsoft Update／自動更新に対応していない（WSUSにも対応していない）。ダウンロード・センターから修正プログラムをダウンロードし、手動で適用する必要があるので注意が必要だ。