DA Labとは?

Windows HotFix Briefings ALERT

セキュリティ情報 ― 2007年12月版
3.そのほかのセキュリティ、修正プログラム関連情報

DA Lab Windowsセキュリティ
2007/12/17

Office 2007ファミリ向けService Pack 1の提供開始

 マイクロソフトは、Office 2007ファミリ向けService Pack 1の提供を開始した。Office 2007スイートやその単体版のほか、OneNote、Visio向けに個別のインストール・パッケージで提供されている。Service Pack 1には、公開済みのセキュリティ修正プログラムや不具合修正が含まれている。

 Office 2007ファミリの各製品向けService Pack 1のダウンロード・ページは以下のとおり。

製品名
Office 2007スイートおよび単体版
Office Language Pack 2007
Office互換機能パック
Office Proofing Tools 2007
PowerPoint Viewer 2007
Visio Viewer 2007
Visio 2007
Visio Language Pack 2007
Project 2007
Project Language Pack 2007
2007 Microsoft Office Servers
Office Servers Language Pack
Office SharePoint Designer 2007
Office InterConnect 2007
Office 2007用Office 2003 Webコンポーネント
Outlook 2007用予定表印刷アシスタント
Windows SharePoint Services 3.0
Office 2007ファミリ向けの各SP1のダウンロード・ページ

 一方、以下のサポート技術情報によれば、Windows VistaにOffice 2007 SP1をインストールすると不具合が発生することなどが明らかになっている。

 最低12カ月間はSP1を適用していない環境もサポートされるので、上記のようなSP1の不具合がある程度解消されてから、SP1のインストールを開始してもよいだろう。

AccessにおけるMDB処理のバッファ・オーバーフローの脆弱性

 US-CERTは、マイクロソフトのデータベース・ソフトウェア「Access」のMDB(Microsoft Access Database)処理に脆弱性が存在し、その脆弱性を悪用する実証コードが広まっていると警告した。

 細工したMDBファイルを開くと、バッファ・オーバーフローが起こり、ユーザーの操作なしに任意のコードが実行されてしまうということだ。執筆時点でマイクロソフトから正式な発表や修正プログラムの提供はないので、怪しいファイルは開かないなど運用で回避する必要がある。

WPADの脆弱性により情報漏えいが起こる危険性

 マイクロソフトは、Windows OSにおけるWPAD(Web Proxy Auto-Discovery Protocol:Webプロキシ自動発見)サーバの発見処理に脆弱性が存在し、情報漏えいが起きる危険性があることを明らかにした。

 WPAD機能は、Webクライアントがユーザーの介入なしに、自動でプロキシ・サーバを検出し、設定する機能である。Windows OSは、自動プロキシ設定ファイルが配置されたWPADサーバを探していくうちに、組織内だけではなくインターネット上にあるサーバまで探索してしまう。その結果、意図しないプロキシ・サーバを見つけてしまい、中間者攻撃が仕掛けられる危険性がある。

 前出のセキュリティ・アドバイザリによれば、この脆弱性を回避するには、コントロール・パネルの[インターネット オプション]−[接続]タブ−[LANの設定]において、「設定を自動的に検出する」を無効にすればよいとのこと。

複数の脆弱性を解消したQuickTime 7.3.1の提供開始

 Appleは、マルチメディア・プレーヤ「QuickTime」に3種類の脆弱性が存在することを公表し、それらを解消した「QuickTime 7.3.1」の提供を開始した。

 見つかった脆弱性はいずれも任意のコードが実行できる危険なものだ。特にRTSP(Real Time Streaming Protocol)の脆弱性については、すでに複数の実証コードが公開されており、攻撃事例も報告されている。QuickTimeを利用しているなら、至急Ver. 7.3.1に更新した方がよい。執筆時点でApple Software Updateによる配布は始まっていないが、以下のページからVer. 7.3.1のインストーラを手動ダウンロードできる。

 なおQuickTime 7.3.1はWindows XP/Windows Vista向けとなっており、Windows 2000にはインストールできない。

Firefox 2.0.0.11の提供開始

 Mozilla Foundationは、2007年11月下旬にWebブラウザ「Firefox 2.0」を2回更新した。執筆時点の最新版はVer. 2.0.0.11で、その前のVer. 2.0.0.10は複数の脆弱性を解消している。

 Firefox 2.0を利用していると、デフォルトで、Firefoxを起動していると自動的に[ソフトウェア更新]ダイアログが表示され、更新が促される。指示に従って操作すれば、インターネット経由で更新版パッケージがダウンロードされ、最新版に更新される。

2件の脆弱性を解消したThunderbird 2.0.0.9の提供開始

 Mozilla Foundationは、2件の脆弱性を解消したメール・ソフトウェア「Thunderbird 2.0.0.9」の提供を開始した。

 解消された脆弱性には、任意のコードが実行できる危険なものが含まれている。Thunderbirdを利用しているなら、なるべく早くThunderbird 2.0.0.9に更新した方がよい。

バッファ・オーバーフローの脆弱性を解消したLhaplus 1.56の提供開始

 JPCERT/CCは、圧縮・解凍ツール「Lhaplus」のVer. 1.55以前に脆弱性が存在することを明らかにした。Lhaplusが細工済みファイルを展開するとバッファ・オーバーフローが起こり、任意のコードが実行される危険性がある。

 これに対して、すでに開発者のSchezo氏は、脆弱性を解消したLhaplus 1.56の提供を開始している。

 Lhaplusは定番の圧縮・解凍ツールの1つなので利用者も多い。もし企業内で利用者がいたら、至急Ver. 1.56への更新を検討した方がよい。

Windows Vista Service Pack 1の製品候補版(RC)の一般提供開始

 マイクロソフトはWindows Vista Service Pack 1の製品候補版(RC)の一般提供を開始した。以下のダウンロード・センターの各ページから入手できる。

 Windows Vista SP1の正式版は、2008年第1四半期の出荷が予定されている。その前にテストするなら、この製品候補版を試してみるとよいだろう。

End of Article

 

 INDEX
  [Windows HotFix Briefings ALERT]
    1.緊急レベル3件を含む7件のセキュリティ修正が公開(1)
    2.緊急レベル3件を含む7件のセキュリティ修正が公開(2)
  3.そのほかのセキュリティ、修正プログラム関連情報

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間