　IE用の更新プログラム（MS09-002）では、IE 7に存在する2件の脆弱性に対処した。この問題を突かれた場合、細工を施したWebページをIEで表示するとリモートからコードを実行される可能性があり、特にWindows XPとWindows Vistaで危険度が高い。なお、IE 8ではβ2が影響を受けるが、RC1およびWindows 7βでは影響しないという。

　Exchangeの更新プログラム（MS09-003）は、Exchange 2000 ServerとExchange Server 2003、Exchange Server 2007が対象となる。脆弱性は2件あり、このうちメモリ破損の脆弱性では細工を施したTNEFメッセージをExchange Serverに送信することでリモートからコードを実行し、サービスアカウント特権を使ってコンピュータを完全に制御できるようになる。もう1件のリテラル処理の脆弱性は、サービス妨害（DoS）攻撃に利用される可能性がある。

　残る2件の更新プログラムはSQL ServerとOffice Visioが対象で、Microsoftの深刻度評価は4段階で上から2番目の「重要」レベル。ただしSANS Internet Storm Centerでは、SQL Serverの脆弱性（MS09-004）を突くエクスプロイトコードが2008年12月から出回っていると指摘し、深刻度は高いと見ている。これに対し、MicrosoftはWebシステムとしてSQL Serverを運用しているなどの場合を除いて脆弱性悪用には特殊な環境が必要になると説明している。

　新規のセキュリティアドバイザリー（960715）も併せて公開し、ActiveXのキルビットを更新した。今回はAkamai Download ManagerおよびResearch in Motion（RIM） AxLoaderのActiveXコントロール用のキルビット設定が含まれている。

　悪意のあるソフトウェア削除ツールの2月更新版では、大規模なボットネットを形成しているマルウェア「Srizbi」を検出・削除できるようにしたほか、「Downadup／Confricker」の亜種の検出・削除にも対応を強化している。

過去のセキュリティニュース一覧はこちら