米Microsoftは1月9日、月例セキュリティ更新プログラム4件を公開し、ExcelやOutlookに影響する深刻な脆弱性に対処した。しかし、12月に相次いで発覚したWordのゼロデイの脆弱性を修正するパッチは含まれていない。
9日にリリースされた更新プログラムは、4件のうち3件が最大深刻度「緊急」レベル。このうちVector Markup Language(VML)の脆弱性によりリモートでコードが実行される問題(MS07-004)は、Windows XP SP2で動作するInternet Explorer 7にも影響する。
この脆弱性は、Windowsに実装されたVMLに未チェックのバッファが含まれることが原因で発生し、細工を施したWebページやHTML形式の電子メールを通じて悪用される恐れがある。この脆弱性に関する情報は一般には公開されていないが、これが悪用されたとの報告はあるといい、できる限り早期のパッチ適用が推奨される。
Microsoft Outlookの脆弱性修正パッチ(MS07-003)では、一般に公開された問題を含む3件の脆弱性に対処した。これら問題を悪用されるとリモートでコードを実行されたり、サービス拒否を引き起こされる可能性がある。
Excelの脆弱性によりリモートでコードが実行される問題(MS07-002)は、Windows版とMac版の両方のOfficeに影響する。不正な形式のIMDATAレコード処理に関する問題など、合計5件の脆弱性に対処した。
残る1件の更新プログラムは「重要」レベルで、Office 2003のポルトガル語の文章校正プログラムに存在する脆弱性を解決している。
Microsoftのソフトをめぐっては、12月中にWordのゼロデイの脆弱性が3件報告されたほか、Vistaにも影響するWindowsの脆弱性も見つかっているが、いずれも今回の月例パッチでは対処できなかった。Microsoftは今回、当初8件を予定していた更新プログラムの本数を4件に減らした経緯がある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR