セキュリティ・ホールの概要と影響度

　Excelのレコード処理やフォント設定の値の処理において、メモリ破損を引き起こす3種類の脆弱性が存在し、細工されたXLSファイルを開くと、任意のコードが実行される危険性がある。3件の脆弱性は次のとおりである。

• フォントの設定の脆弱性（深刻度：緊急 CVE：CVE-2007-1203）
  　フォント設定の値を処理する過程におけるメモリ破損の脆弱性。
• フィルタ・レコードの脆弱性（深刻度：緊急 CVE：CVE-2007-1214）
  　フィルタ・レコードを処理する過程におけるメモリ破損の脆弱性
• BIFFレコードの脆弱性（深刻度：緊急 CVE：CVE-2007-0215）
  　BIFF（Binary Interchange File Format：Excelのファイル形式）を解析する過程におけるメモリ破損の脆弱性。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■Excel向けとOffice互換機能パック向けの修正プログラムは別
　Office 2000／XP／2003にOffice互換機能パックをインストールすると、Office 2007フォーマットの読み書きが可能になるが（TIPS「互換機能パックを使ってOffice 2007のファイルを読み書きする」参照）、この場合は、Office互換機能パック向けの修正プログラムも併せて適用しなければならない。

■Excel 2000向けはOffice Updateで提供
　MS07-023のExcel 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft Update（MU）ではOffice 2000は対象外であるため、MUではExcel 2000向け修正プログラムは適用できない。

• この問題に関するディスカッション・スレッド（HotFix Report BBS）

セキュリティ・ホールの概要と影響度

　Wordにおけるドキュメント・ストリーム処理や配列のデータ処理、リッチ・テキスト形式（RTF）の文字を解析する処理に、それぞれ脆弱性が存在し、リモートで任意のコードが実行される危険性がある。脆弱性の内容は次のとおりである。

• ドキュメントのストリームの脆弱性（深刻度：緊急　CVE：CVE-2007-0870）
  　ドキュメント・ストリームのオブジェクトを処理する過程における、メモリ破損の脆弱性。
• 配列のオーバーフローの脆弱性（深刻度：緊急　CVE：CVE-2007-0035）
  　配列データを処理する過程におけるメモリ破損の脆弱性。
• RTFの解析の脆弱性（深刻度：緊急　CVE：CVE-2007-1202）
  　リッチ・テキスト形式の文字を解析する過程におけるメモリ破損の脆弱性。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■Word 2000向けはOffice Updateで提供
　MS07-024のWord 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft Update（MU）ではOffice 2000は対象外であるため、MUではWord 2000向けの修正プログラムは適用できない。

• この問題に関するディスカッション・スレッド（HotFix Report BBS）

セキュリティ・ホールの概要と影響度

　Officeが描画オブジェクトを処理する方法に脆弱性が存在し、細工されたOfficeファイルを開くと、任意のコードが実行される危険性がある。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■複数のOfficeのバージョンがインストールされている場合
　脆弱性の対象となっている「MSO9.DLL／MSO.DLL」は、Officeのバージョンごとに提供されており、異なるフォルダにインストールされている。そのため複数のOfficeのバージョンがインストールされている環境では、各Office向けの修正プログラムを個別に適用する必要がある。

■Office 2000向けはOffice Updateで提供
　MS07-025のOffice 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft Update（MU）ではOffice 2000は対象外であるため、MUではMS07-025のOffice 2000向けの修正プログラムは適用できない。

• この問題に関するディスカッション・スレッド（HotFix Report BBS）

セキュリティ・ホールの概要と影響度

　Exchange ServerのMIMEデコード処理などに脆弱性が存在し、細工した電子メールを受信すると、Exchange Serverが実行されているコンピュータ上で任意のコードが実行されたり、サービス拒否が起きたりする危険性がある。最悪の場合、Exchange Serverを実行しているコンピュータの制御が完全に奪われる可能性がある。またExchange ServerのOutlook Web Access（OWA）にスクリプト・インジェクションの脆弱性も存在する。細工された電子メールをOWAで開くと、メッセージ内のスクリプトがユーザーのコンピュータ上で実行されてしまう。脆弱性の内容は次のとおりである。

• MIMEデコードの脆弱性（深刻度：緊急　CVE：CVE-2007-0213）
  　Exchange ServerのMIMEエンコード処理における脆弱性。
• 形式の正しくないiCalの脆弱性（深刻度：重要　CVE：CVE-2007-0039）
  　Exchange Serverで提供されているEXCDO機能が、電子メールで提供されたiCAL（インターネット・カレンダー）のプロパティを適切に処理しないことに起因する脆弱性。
• Outlook Web Accessのスクリプト・インジェクションの脆弱性（深刻度：重要　CVE：CVE-2007-0220）
  　OWAが、UTFでエンコードされた添付ファイルを処理する過程に存在する脆弱性。
• IMAPリテラル処理の脆弱性（深刻度：重要　CVE：CVE-2007-0221）
  　Exchange ServerがIMAPコマンドを処理する過程における、整数オーバーフロー・エラーの脆弱性。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。

適用に関する注意点

■Exchange Server 2007向けの修正プログラムはロールアップ更新プログラム
　Exchange Server 2007向けのMS07-026の修正プログラムは、脆弱性を解消するだけのものではなく、過去の不具合修正などを含むロールアップ更新プログラムである。そのため適用前には十分な検証作業を行うことが望ましい。

■Exchange Server 2003向け修正プログラムはSP1向けとSP2向けのファイル名が同じなので注意
　MS07-026のExchange Server 2003 SP1向けとSP2向けの修正プログラムはファイル名が「Exchange2003-KB931832-x86-JPN.exe」とまったく同じである。しかしExchange Server 2003 SP1向けとSP2向けでは、置き換わるファイルなどが異なっているので注意すべきだ。

• この問題に関するディスカッション・スレッド（HotFix Report BBS）