.
マイクロソフト、「Outlook」の脆弱性などを回避する「Office XP SP3」を公開
本日告知されたOutlookの脆弱性(MS04-009)への修正プログラムも含む
(04/03/10)
 |
| 「Microsoft Office XP Service Pack 3」のダウンロードページ |
マイクロソフト(株)は10日、同社製品「Microsoft Office XP」用の“累積的な”アップデートプログラム集「Microsoft Office XP Service Pack 3」(以下、Office SP3)をリリースした。Office SP3は、2002年8月に公開された「Microsoft Office XP Service Pack 2」や、そのリリース後に発見されたセキュリティ問題などを修正するアップデートプログラムに加え、同社のセキュリティ情報開示サイト“TechNet Online”で10日に告知された、Outlookの脆弱性(MS04-009)の修正内容も含む。Office SP3は、現在同社が運営する公式サイト“Microsoft Office”から無償でダウンロードできる。
同社は、Outlookの脆弱性(MS04-009)に関するセキュリティ問題の最大深刻度を、4段階中2番目の“重要”レベルと評価しており、修正の対象は「Microsoft Outlook 2002」と、同ソフトを含む「Microsoft Office XP」。「Microsoft Outlook 2002」における“mailto:”の解析に起因し、悪用を目的としてデザインされたHTMLメールを表示したり、WebページをIEで表示すると、ファイルにアクセスされたり、任意のプログラムを実行されてしまう可能性がある。なお、「Microsoft Outlook 2002」の起動時に“Outlook Today”を表示するよう設定した場合のみ危険であるとのこと。
Office SP3にはOutlookの脆弱性のほか、“Visual Basic for Applications”(VBA)の問題により任意のプログラムが実行される脆弱性(MS03-037)や、“Office Web Components”の脆弱性(MS02-044)、ヘッダー処理の問題により「Microsoft Outlook 2002」が異常終了する問題(MS02-067)、「Microsoft Access Snapshot Viewer」の未チェックのバッファによりコードが実行される脆弱性(MS03-038)、「Microsoft Word」の問題によりマクロが実行される脆弱性(MS03-035)などの修正プログラムが含まれる。なかでもVBAの脆弱性(MS03-037)は、最大深刻度が4段階中1番目の“緊急”レベルと評価されており、マイクロソフト製の各種ソフトで共通に使えるマクロ言語であるVBAを悪用することでバッファ・オーバーフローを発生させ、任意のプログラムを実行できるという。Office SP3を導入すれば、これらの修正プログラムを一括適用できる。
□Microsoft Office XP Service Pack 3
http://www.microsoft.com/japan/office/downloads/xpsp3/
□Outlook の脆弱性により、コードが実行される (828040) (MS04-009)
http://www.microsoft.com/japan/technet/security/bulletin/MS04-009.asp
(石川 敬峰)
トップページへ