セキュリティ・ホールの概要と影響度

　Outlookに関する3種類の脆弱性が公表され、そのための修正プログラムが公開された。Outlookの.ossファイルの処理などに問題があり、リモートで任意のコードが実行される危険性がある。対象となる脆弱性は以下のとおりである。

• Outlookの高度な検索の脆弱性（深刻度：緊急　CVE：CVE-2007-0034）
  　.ossファイルの処理に脆弱性が存在する。.oss（Office Saved and Search）ファイルは、Outlookの「高度な検索」における検索条件を保存しておくためのファイルである。このファイルの処理に脆弱性が存在し、リモートで任意のコードが実行される危険性がある。

• OutlookのVEVENTの脆弱性（深刻度：重要　CVE：CVE-2007-0033）
  　.icsファイルの処理に脆弱性が存在する。.icsファイルはOutlookの会議出席依頼でスケジュール情報の交換などで利用されるファイルである。このファイルの処理に脆弱性が存在し、リモートで任意のコードが実行される危険性がある。

• Outlookのサービス拒否の脆弱性（深刻度：警告　CVE：CVE-2006-1305）
  　Outlookの電子メール・ヘッダ情報の処理に未チェック・バッファの脆弱性が存在する。ヘッダが細工された電子メールを受信すると、サービス拒否が起こり、Outlookが異常終了したり、応答しなくなったりする。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■修正プログラムを適用すると「高度な検索」機能の.ossファイルの保存や表示ができなくなる
　MS07-003の修正プログラムを適用するとOutlookの「高度な検索」機能で、「条件の保存」による検索条件の保存や表示が利用できなくなる。MS07-003の修正プログラムは、これらの機能を無効化することで「Outlookの高度な検索の脆弱性」を解消しているようだ（メニュー項目から.ossファイルの保存機能が削除される）。

• Outlook で Office 検索条件 (.oss) ファイルを開くことや保存することができない（サポート技術情報）

　このサポート技術情報に記されているようにレジストリの設定を変更すると、MS07-003の修正プログラムの適用後でも.ossファイルの保存や表示が可能になる。ただし、この場合MS07-003で説明されている脆弱性も復活する恐れがあるため、必要不可欠でなければこの設定はしない方がよい。

セキュリティ・ホールの概要と影響度

　Vector Markup Language（VML）は、Webブラウザ上で利用する、XMLベースのベクター・グラフィックスのアドオン機能である。このVMLの処理をするDLLファイルに未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険性がある。すでに悪用の事例が報告されているので、至急、修正プログラムを適用した方がよい。なおVMLの脆弱性は、MS06-055でも解消されているが、MS07-004は別の脆弱性を解消するものである。

• Vector Markup Language の脆弱性により、リモートでコードが実行される（Windows HotFix Briefings ALERT）

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■脆弱性の回避策をすでに実施している際の注意
　TechNetセキュリティ情報MS07-004に記されている回避策のうち、vgx.dllのアクセス制御リスト（ACL）の制限を強める、という対策が実施済みの場合、MS07-001の修正プログラムを適用する前にこのACLを戻しておく必要がある。制限したままだとMS07-004の修正プログラムの適用に失敗する可能性がある。