Microsoftは米国時間5月13日、OfficeとWindows XPの脆弱性に関する4件の緊急のパッチを公開した。公開したパッチは他のものも含め全部で6件になる。
以下ではCVEごとに説明していく。
CVE-2008-1091:MicrosoftはMicrosoft Wordのオブジェクト解析の脆弱性を修正した。影響のあるソフトウェアには、Office 2000、2003、2007が含まれる。Microsoftは次のように説明している。
Microsoft Office が特別な細工がされた Rich Text Format (.rtf) ファイルを処理する方法に、リモートでコードが実行される脆弱性が存在します。ユーザーが不正な形式の文字列で特別な細工がされた .rtf ファイルを Word で開いた場合、または不正な形式の文字列で特別な細工がされた .rtf ファイル をリッチテキスト形式の電子メールでプレビュー表示した場合、この脆弱性によりリモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。
この問題を報告したのはZero Day Initiativeだ。
CVE-2008-1434:Microsoftのアップデートでは、WordのCascading Style Sheet(CSS)の脆弱性を修正している。Microsoftは、「Microsoft Word が特別な細工がされた Word ファイルを処理する方法に、リモートでコードが実行される脆弱性が存在します。この脆弱性は、不正な形式の CSS 値を含む特別な細工がされた Word ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります」と述べている。iDefense Labsに勤務するJun Mao氏がこの脆弱性を発見した。
CVE-2008-0119:MicrosoftはMicrosoft Publisherの脆弱性を修正した。Microsoftは次のように述べている。
Microsoft Publisher がオブジェクトヘッダーのデータを処理する方法に、リモートでコードが実行される脆弱性が存在します。攻撃者は電子メールの添付ファイルとして Publisher ファイルを送信、または悪意のある Web サイトまたは侵害された Web サイトでホストされている特別に細工した Publisher ファイルを開かせ、この脆弱性を悪用する可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、影響を受けるコンピュータが攻撃者に完全に制御される可能性があります。
Fortinet Security ResearchのCocoruder氏がこの脆弱性を発見した。影響があるのはOffice 2000、2003、2007だ。
CVE-2007-6026:MicrosoftはWindows 2000 Service Pack 4、Windows XP、Windows Server 2003のバッファオーバーランの脆弱性を修正した。Microsoftは次のように述べている。
これは Microsoft Jet Database Engine (Jet) に存在するバッファ オーバーランの脆弱性で、影響を受けるコンピュータでリモートでコードが実行される可能性があります。攻撃者は特別な細工がされたデータベースクエリを作成し、影響を受けるコンピュータ上で Jet を使用しているアプリケーションを介して送信することにより、この脆弱性を悪用する可能性があります。攻撃者がこの脆弱性を悪用した場合、影響を受けるコンピュータが完全に制御される可能性があります。
CERT、ISC/SANS、およびTipping Point DVLabsのAaron Portnoy氏がこの脆弱性を報告している。
また、Microsoft Live OneCare、Antigen、Windows Defender、Forefrontに影響のある、深刻度が警告の脆弱性2件が修正されている。
CVE-2008-1437:マイクロソフトは次のように述べている。
Microsoft Malware Protection Engine が特別に細工されたファイルを処理する方法に、サービス拒否の脆弱性が存在します。攻撃者はサービス拒否が起こる可能性のあるファイルを特別に細工して作成し、標的となるコンピュータがファイルを受け取り、Microsoft Malware Protection Engine がそのファイルをスキャンした場合に、この脆弱性を悪用する可能性があります。攻撃者がこの脆弱性を悪用した場合、Microsoft Malware Protection Engine が応答を停止し、Microsoft Malware Protection Engine が自動的に再起動する可能性があります。
CVE-2008-1438:これも同様の脆弱性だが、次の点が異なる。「攻撃者がこの脆弱性を悪用した場合、ディスク領域がなくなり、サービス拒否の状態を引き起こし、自動で再起動する可能性があります」(Microsoft)
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
関連情報
-
マイクロソフトが3件の緊急のセキュリティ情報について事前通知、うち2件はOffice関連
マイクロソフトは、米国時間5月13日に予定されている5月の月例パッチに関する事前通知を発表した。今回は深刻度が緊急の脆弱性3件と、警告の脆弱性1件に対し修正が行われる。 - Microsoft
「セキュリティ」 の新着情報
-
複数のデータセンターを分散させたままでBCP/DRを展開:山武
業務に必要なシステムをデータセンターで稼働させている企業は多いと思うが、災害復旧(DR)を中心とした事業継続計画(BCP)... - アップル、「iPhone」のSMS脆弱性を修正へ--IDG News Service報道
- シマンテック、アジア太平洋地域における中小企業のセキュリティ課題をレポート
- ATMのセキュリティに関する講演が中止に--米セキュリティカンファレンス
- スパムの83.2%がボットネットから--シマンテック調査
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
マンチェスター市役所がConfickerワームで240万ドルの実害を被る
マンチェスター市役所が、Confickerワームによってうけた被害について監査レポートを公開している。このレポートによれば、同市役所はConfickerワームから240万ドルの実害を受けた。 -
Adobe Shockwaveに重大なセキュリティホール -- 数億人に影響
-
中国の検閲ソフトウェアに対するリモートからコードを実行する攻撃コードが公開される
-
モジラが新たな技術でXSSに取り組む
-
Month of Twitter Bugs:研究者が7月の1ヶ月間、Twitter関連のバグを追求
- Zero Day 一覧へ »
ZDNet Japan Essential Topic
-
業務効率化への第一歩はプロセス指向
まずは晩飯づくりからプロセスに分解してみよう! -
仮想化、復習しませんか?
この特集で仮想化のパターンがわかります
企画特集
-
◆エン・ジャパン厳選求人☆毎週更新◆
不況下でも急成長の秘訣とは?注目企業の取組みも公開! -
ロリポップ!がリニューアル
【第1回】創業者の家入一真氏が語る誕生秘話!! -
SOA、BPM、SaaS −今、企業に必要なこと
ビジネス・アプリケーションの今を網羅する特設サイト -
仮想環境を実現するソリューション特集
仮想化導入時、こんなところ気にしてますか? -
【徹底対談】運用管理ツールの賢い使い方
市場背景〜仮想化管理までアナリストが解説! -
インターネット上の悪意を未然に防ぐには?
ブラウザに備わったセキュリティ機能を徹底解説 -
中小企業のセキュリティリスクとは?
導入する側・される側 得するセキュリティ製品 -
ストレージメディア特設サイト開設
仮想化環境において最適なソリューションを! -
そのストレージで仮想化に対応できますか?
メリット盛りだくさんのサンのオープンストレージ製品 -
集積度も性能も、業界最高水準のブレードPC
サーバの実装技術を、シン・クライアントへ応用 -
ESBでIT投資の無駄を劇的に解消する
IBM IMPACT 2009を徹底レポート! -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
セキュリティ&ユーザ事例【SIer Club】
最新のセキュリティ情報と提案事例が満載 -
今注目の「サジェスト検索」−デモ掲載中
システムのユーザビリティに革命を起こす技術とは -
パンデミック対策特集
2009年のパンデミック発生から再考する事業継続計画 -
サービス・ドリヴン・データセンター
コスト効果の高いデータセンター構築には? -
サーバー監視・運用のコストを削減するには
エージェントレス方式を用いたパトロールクラリスで -
エンタープライズにおけるSUSEの強み
次世代データセンターの基盤は11だ。 -
■ストレージ容量50%削減保証■
ネットアップによる削減保証キャンペーン実施中
幸い今回は弱毒性で大事には至らなかったが、まだ油断はできない。企業活動を停止すると、大きな経済的損害や社会的信用の低下を招いてしまう。 
サーバやOS、アプリケーションなどの世界ではオープンソーススタンダードが市場を牽引する現在、ストレージの世界でもオープン化の流れが始まっている。 
ZDNet Japanからのお知らせ
- ご回答にはCNET_IDご登録が必要です。
Intel Video Series
-
9. 出荷準備はOK?
この3分間のビデオは、あなたがソフトウェアを出荷する前に、データレー... -
10. Parallel Debugging Extensions
この3分間のビデオは、並列アプリケーション内のそうでなければ発見しが...
新着企業動向
-
40Gbpsの転送速度を実現可能にする、QLogic社製 InfiniBand QDRスイッチを出荷開始
TCBテクノロジーズ -
待ったなし!会計基準の国際化対応 緊急セミナー
NTTソフトウェア -
ラピッドサイト VPS 新プランリリース(月額7,350円〜)
GMOホスティング&セキュリティ -
Dojo(道場)
テンダ - 企業動向一覧へ»
