DA Labとは?

Windows HotFix Briefings ALERT

セキュリティ情報 ― 2007年7月版
1.緊急レベル3件を含む6件のセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2007/07/18
本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2007年7月11日に、MS07-036〜041の合計6件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は、最も緊急性の高い「緊急」レベルが3件、「重要」が2件、「警告」が1件で、詳細な技術情報だけでなく、実証コードが報告されたものも含まれている。これらの脆弱性を悪用したウイルスやワームの流布、フィッシング・サイトの出現などが懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS07-036936542
Microsoft Excel の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/07/11
MS Security# MS07-036
MSKB# 936542
対象環境 Excel 2000/Excel 2002/Excel 2003/Excel 2007
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-036

セキュリティ・ホールの概要と影響度

 Excelファイルのバージョン情報やワークシート数などの処理にメモリ破損を引き起こす3種類の脆弱性が存在し、細工されたExcelファイルを開くと任意のコードが実行される危険性がある。各脆弱性の内容は次のとおり。

  • [緊急]計算エラーの脆弱性−CVE-2007-1756*1
    Excelファイルに含まれるバージョン情報の処理過程における脆弱性。

  • [緊急]ブックのメモリ破損の脆弱性−CVE-2007-3030
    ワークスペース(作業状態の保存を行う機能)の情報の処理過程における脆弱性。

  • [重要]ワークシートのメモリ破損の脆弱性−CVE-2007-3029
    アクティブなワークシート数の処理過程における脆弱性。

*1 これは、公表された各脆弱性に割り当てられる固有の識別番号で、非営利団体のMITRE Corporationによって管理されている。CVEはCommonVulnerabilities and Exposuresの頭文字。リンク先はMITREによる脆弱性情報の概要ページである。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Excel 2000 Office 2000 SP3
Excel 2002 Office XP SP3
Excel 2003 Office 2003 SP2
Excel Viewer 2003 Excel Viewer 2003
Excel 2007 Office 2007
Office互換機能パック Office 2000 SP3/Office XP SP3/Office 2003 SP2+Office互換機能パック

適用時の注意点

■Excel向けとOffice互換機能パック向けの修正プログラムはそれぞれ別に適用する
 Office互換機能パック(Word/Excel/PowerPoint 2007の文書を閲覧/編集するための追加ソフトウェア)を利用している場合は、Excel本体とOffice互換機能パックの両方に対して、それぞれに修正プログラムを適用する必要がある。

■Excel 2000向けの修正プログラムはOffice Updateで提供
 MS07-036のExcel 2000向けの修正プログラムは、Excel 2002などと異なり、Microsoft Updateや自動更新、WSUSでは適用できない。Office Updateを利用するか、ダウンロード・センターから手動で修正プログラムをダウンロードして適用する必要がある。
 
[緊急] MS07-037936548
Microsoft Office Publisher 2007 の脆弱性により、リモートでコードが実行される
最大深刻度 重要
報告日 2007/07/11
MS Security# MS07-037
MSKB# 936548
対象環境 Publisher 2007
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-037

セキュリティ・ホールの概要と影響度

 Publisher 2007が適切にメモリ・リソースをクリアしないことに起因する脆弱性が存在し、リモートで任意のコードが実行される危険性がある。細工されたPublisherファイル(.PUBファイル)を開くだけで攻撃が実行されるため、Publisher 2007をインストールしてある環境にとっては危険性が高い脆弱性といえる。

 なお、Publisher 2000/2002/2003はMS07-037の脆弱性の影響を受けない。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Publisher 2007 Office 2007
 
[緊急] MS07-038935807
Windows Vista ファイアウォールの脆弱性により、情報漏えいが起こる

セキュリティ・ホールの概要と影響度

最大深刻度 警告
報告日 2007/07/11
MS Security# MS07-038
MSKB# 935807
対象環境 Windows Vista
再起動 必要
HotFix Report BBSスレッド MS07-038

 Teredoと呼ばれるWindows Vistaのネットワーク機能に脆弱性が存在し、情報漏えいが起きる危険性がある。Teredoとは、IPv4のNATを介したネットワークでIPv6の接続を実現する技術あるいは機能のこと(関連記事参照)。細工されたIPv6のアドレスを含むリンクをクリックすると、ファイアウォールをバイパスして攻撃者のコンピュータと通信ができるようになり、ローカルのコンピュータに関する情報が窃取されるおそれがある。

連載Vistaの地平:TeredoによるIPv6トンネリング機能

 なお、Windows 2000/Windows XP/Windows Server 2003はMS07-038の脆弱性の影響を受けない。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows Vista Windows Vista
 
 

 INDEX
  [Windows HotFix Briefings ALERT]
  1.緊急レベル3件を含む6件のセキュリティ修正が公開(1)
    2.緊急レベル3件を含む6件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT