MS月例パッチ公開、WordとOfficeのゼロデイ脆弱性に対処

Microsoftは「緊急」レベル6件、「重要」レベル6件の更新プログラムを公開。ゼロデイ攻撃が発生しているWordやOfficeの脆弱性に対処した。

[ITmedia]

　Microsoftは2月13日、12件の月例セキュリティ更新プログラムを公開し、ゼロデイ攻撃が発生しているWordやOfficeの脆弱性を含む計20件の脆弱性に対処した。

　最大深刻度「緊急」レベルの更新プログラムは6件。このうちWordの更新プログラム（MS07-014）では、Wordの不正な形式の文字列の脆弱性、Wordカウントの脆弱性、不正な形式の描画オブジェクトの脆弱性など6件の脆弱性に対処した。

　これら脆弱性を突かれると、細工を施したWordファイルを使ってリモートでコードを実行される恐れがある。一部は既に悪用コードが公開され、実際の攻撃が報告されている。

　影響を受けるのはOffice 2000 SP3、Office XP SP3、Office 2003 SP2、Mac版Office 2004など。2007 Microsoft Office systemは影響を受けない。

　Officeの更新プログラム（MS07-015）も、ゼロデイ攻撃が発生している脆弱性に対処した。修正されたのはPowerPointの不正な形式のレコードメモリ破損の脆弱性と、Excelの不正な形式のレコードの脆弱性の2件。このうちExcelの脆弱性は今回のパッチ提供より前に情報が公開され、実際の悪用が報告されている。

　影響を受けるのはOffice 2000 SP3、Office XP SP3、Office 2003 SP2、Mac版Office 2004など。2007 Microsoft Office systemは影響を受けない。

　Internet Explorer（IE）用の累積的なセキュリティ更新プログラム（MS07-016）は、既に情報が公開されているCOMオブジェクトのインスタンス化に関するメモリ破損の脆弱性など3件の問題に対処した。Windows 2000 SP4、Windows XP SP2、Windows Server 2003／SP1で動作するIE 6とIE 7に影響する。Windows Vista用のIE 7は影響を受けない。

　このほか3件の緊急レベルパッチは、HTMLヘルプのActiveXコントロールに存在する脆弱性（MS07-008）、Microsoft Data Access Componentsの脆弱性（MS07-009）、Microsoft Malware Protection Engineの脆弱性（MS07-010）にそれぞれ対処している。いずれも悪用されるとリモートでコードを実行される恐れがある。

　残る6件の更新プログラムはいずれも「重要」レベルで、Windowsシェルの脆弱性、ステップバイステップの対話型トレーニングの脆弱性などに対処している。

　今回のアップデートでは、セキュリティ以外にも米国の夏時間実施時期変更に関する更新などが公開された。これを正しく適用しないと、ほかの国のタイムゾーンとデータや情報を交換する際、時間のずれが発生する可能性があるため、特に企業にとって重要な更新となる。