DA Labとは?

Windows HotFix Briefings ALERT

セキュリティ情報 ― 2007年8月版
1.緊急レベル6件を含む9件のセキュリティ修正が公開(1)

DA Lab Windowsセキュリティ
2007/08/20

本HotFix Briefingsでは、Windows関連の修正プログラム情報、セキュリティ・ホール(脆弱性)情報について、月1回のダイジェストでお知らせします。

 マイクロソフトは、月例の修正プログラム公開日である2007年8月15日に、MS07-042〜050の合計9件の脆弱性情報を公表し、修正プログラムの提供を開始した。最大深刻度は、最も緊急性の高い「緊急」レベルが6件、「重要」が3件である。詳細な技術情報だけでなく、月例の直後に実証コードが報告されたものも含まれており、ウイルスやワーム、フィッシング・サイトへの悪用が懸念される。事前の検証を行い、早急に適用作業を開始する必要がある。

[緊急] MS07-042936227
XMLコア・サービスの脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/08/15
MS Security# MS07-042
MSKB# 936227
対象環境 MSXML 3.0/MSXML 4.0/MSXML 5.0/MSXML 6.0
再起動 必要
HotFix Report BBSスレッド MS07-042

セキュリティ・ホールの概要と影響度

  Microsoft XMLコア・サービス(MSXML)にメモリ破損の脆弱性が存在し、細工されたスクリプト・リクエストを受け取ると、任意のコードが実行される危険性がある。細工済みのスクリプトが仕込まれたWebページをユーザーが開くだけで攻撃が実行されてしまうおそれがある。月例リリースの直後にDoSの実証コードがインターネットで公開されており、より危険性の高いコード実行の実証コードが現れることが懸念される。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4+MSXML 3.0
Windows XP Windows XP SP2+MSXML 3.0
Windows Server 2003 Windows Server 2003 SP1/R2/SP2+MSXML 3.0
Windows Vista Windows Vista+MSXML 3.0
MSXML 4.0 Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1/R2/SP2、Windows Vista+MSXML 4.0
Office 2003 Office 2003 SP2+MSXML 5.0
Office 2007 Office 2007、Office 2000 SP3/Office XP SP3/Office 2003 SP2+Office互換機能パック+MSXML 5.0
SharePoint Server、Groove Server 2007 SharePoint Server、Groove Server 2007+MSXML 5.0
MSXML 6.0 Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1/R2/SP2、Windows Vista+MSXML 6.0

適用時の注意点

■異なるバージョンのMSXMLそれぞれに修正プログラムの適用が必要
  MSXMLは、1つのコンピュータに異なる複数のバージョンがインストールされている可能性がある。このような場合、それぞれのバージョンに対応した修正プログラムを適用する必要がある。

■Office互換機能パックにはOffice 2007向けの修正プログラムの適用が必要
  TechNetセキュリティ情報では、修正プログラムの適用対象としてOffice互換機能パック(TIPS「互換機能パックを使ってOffice 2007のファイルを読み書きする」参照)が挙げられていない。しかしOffice互換機能パックにはOffice 2007と同じくMSXML 5.0が含まれるので、Office 2007向けの修正プログラムを適用した方がよい。


[緊急] MS07-043921503
OLEオートメーションの脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/08/15
MS Security# MS07-043
MSKB# 921503
対象環境 Windows 2000/Windows XP/Windows Server 2003/Visual Basic 6.0
再起動 必要
HotFix Report BBSスレッド MS07-043

セキュリティ・ホールの概要と影響度

  OLE(Object linking and embedding)オートメーションの処理過程にメモリ破損の脆弱性が存在し、細工されたスクリプト・リクエストを受け取ると、任意のコードが実行される危険性がある。OLEオートメーションとはWindowsの標準プロトコルの1つで、アプリケーション同士でデータを共有したり、別のアプリケーションを制御したりするためのものだ。細工済みのスクリプトが仕込まれたWebページをユーザーが開くと、それだけで攻撃が実行されてしまうおそれがある。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP2
Windows Server 2003 Windows Server 2003 SP1/R2/SP2
Visual Basic 6.0 Visual Basic 6.0 SP6

適用時の注意点

■古いoleaut32.dllを含むVisual Basic 6.0アプリケーションをインストールすると脆弱性が復活する可能性
  oleaut32.dllは、OSに標準で含まれているほか、Visual Basic 6.0に添付されている再配布版がアプリケーションとともにインストールされることもある。そのため、MS07-043の修正プログラムが適用済みでも、古いoleaut32.dllを含むVisual Basic 6.0アプリケーションをインストールすると、oleaut32.dllが上書きされて脆弱性が復活する可能性がある。古いVisual Basic 6.0アプリケーションをインストールした際は、oleaut32.dllのバージョンを確認した方がよい。

■Visual Basic 6.0向けのMS07-043の修正プログラムは手動適用
  Visual Basic 6.0向けのMS07-043の修正プログラムはWindows Update/Microsoft Update/自動更新には対応していない。ダウンロード・センターからインストール・パッケージをダウンロードし、手動で適用する必要がある。

■Visual Basic 6.0 SP6向け修正プログラムのoleaut32.dllは古い?
  Visual Basic 6.0 SP6向けのMS07-043の修正プログラムで置き換えるoleaut32.dllは、各OS向けのMS07-043の修正プログラムで置き換えるoleaut32.dllよりもバージョン番号が低く、日付も古い。またこの修正プログラムを適用すると、再配布可能版のoleaut32.dllがOSごとに用意されるように仕様が変更されるが、Windows Server 2003 SP2向けのoleaut32.dllは含まれていない。ソフトウェア・ベンダは、再配布版oleaut32.dllを利用せずに、OSに付属のoleaut32.dllを利用するようにソフトウェアの設計を変更した方がよいかもしれない。


[緊急] MS07-044940965
Microsoft Excel の脆弱性により、リモートでコードが実行される
最大深刻度 緊急
報告日 2007/08/15
MS Security# MS07-044
MSKB# 940965
対象環境 Excel 2000/Excel 2002/Excel 2003/Excel Viewer 2003
再起動 不要(必要な場合あり)
HotFix Report BBSスレッド MS07-044

セキュリティ・ホールの概要と影響度

 Excelがワークスペースに関連するインデックス値を検証する処理にメモリ破損を引き起こす脆弱性が存在し、細工されたExcelのワークスペース・ファイル(.XLWファイル)を開くと任意のコードが実行される危険性がある。攻撃は、細工したExcelファイルをWebページ上に置くか、電子メールの添付ファイルとして送信し、それをユーザーに開かせるように誘導することで実行されることが考えられる。なおExcel 2007およびOffice互換機能パックはこの脆弱性の影響を受けない。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Excel 2000 Office 2000 SP3
Excel 2002 Office XP SP3
Excel 2003 Office 2003 SP2
Excel Viewer 2003 Excel Viewer 2003

適用時の注意点

■Excel 2000向けの修正プログラムはOffice Updateで提供
  MS07-044のExcel 2000向けの修正プログラムは、Excel 2002などと異なり、Microsoft Updateや自動更新、WSUSでは適用できない。Office Updateを利用するか、ダウンロード・センターから手動で修正プログラムをダウンロードして適用する必要がある。


[緊急] MS07-045937143
Internet Explorer用の累積的なセキュリティ更新プログラム
最大深刻度 緊急
報告日 2007/08/15
MS Security# MS07-045
MSKB# 937143
対象環境 Internet Explorer 5.01/Internet Explorer 6/Internet Explorer 7
再起動 必要
HotFix Report BBSスレッド MS07-045

セキュリティ・ホールの概要と影響度

 ActiveXコントロールがInternet Explorer(IE)を介してアクセスされる際にメモリ破損が生じるなど、Internet Explorer(IE)に対する3種類の脆弱性が公表された。いずれもリモートで任意のコードが実行される危険性をもつ脆弱性なので注意が必要だ。すでに実証コードが公開されている脆弱性もある。対象となる脆弱性は以下のとおり。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 SP4 Windows 2000 SP4
Internet Explorer 6 SP1 Windows 2000 SP4
Internet Explorer 6 Windows XP SP2
Internet Explorer 7 Windows XP SP2
Internet Explorer 6 Windows Server 2003 SP1/R2/SP2
Internet Explorer 7 Windows Server 2003 SP1/R2/SP2
Internet Explorer 7 Windows Vista

適用時の注意点

■MS07-045の修正プログラムには複数の不具合修正が含まれる
  MS07-045の修正プログラムには、以下の不具合修正が含まれている。MS07-045の修正プログラムを適用することで、これらの不具合が解消する可能性がある。

KB番号 タイトル 対象
932043 Web サイトが大文字の文字に Domain 属性があり、そして Internet Explorer 6 で奇数文字数を持っている場合 cookie は設定できません IE 6(Windows XP SP2)
936882 FIX: アクセス違反が発生することがあって、 Internet Explorer 6 で SSL を使用する Web ページを開くと、エラー メッセージを表示することがあります IE 6(Windows XP SP2)
936953 FIX:項目が Internet Explorer 7 にリストを作成するために、 SELECT WL コントロールが使うとき、選択されない可能性があります IE 7(Windows XP SP2、Windows Server 2003 SP1/R2/SP2)
932044 Web サイトが大文字の文字に Domain 属性があり、そして Internet Explorer 7 で奇数文字数を持っている場合 cookie は設定できません IE 7
933014 FIX: An application uses the Favorites folder of Internet Explorer 7 as the root directory when the application calls the "DoOrganizeFavDlg" function IE 7
933133 Web ページからファイルをダウンロードするために Internet Explorer 7 を使用する時、 ファイルの名前が変更される IE 7
935579 FIX:外部ドキュメントにアクセスするために、 Internet Explorer 7 のインライン フレームにリンクを使用するとき、「定義」しなかったのに document オブジェクトの値ができるだけ返されます IE 7
935775 You receive a script error in Internet Explorer 7 when you include certain characters to specify a window name parameter in the "Window.Open" method IE 7
935776 FIX: Internet Explorer 7 に 2 のパラメータとして INTERNET_OPTION_URL オプション フラグを使用する場合、 InternetQueryOptionW 関数が値 True を返します IE 7
935777 FIX: InternetQueryOptionW 関数のバッファサイズが実際の Internet Explorer 7 に 2 のパラメータとして INTERNET_OPTION_URL を使用する場合、半分のサイズです IE 7
936904 問題が Internet Explorer で発生し、閉じます IE 7
937053 InfoPath での Internet Explorer 7 がインストールされるコンピュータに Rich Text ボックスから文字列をコピーする場合、貼り付けたテキストが表のセル内に突然表示されます IE 7


 INDEX
  [Windows HotFix Briefings ALERT]
  1.緊急レベル6件を含む9件のセキュリティ修正が公開(1)
    2.緊急レベル6件を含む9件のセキュリティ修正が公開(2)
    3.そのほかのセキュリティ、修正プログラム関連情報

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間