マイクロソフトは9日、5月度の月例セキュリティパッチを公開した。公開された更新プログラムは、もっとも深刻な「緊急」7件で、Microsoft OfficeとMicrosoft Exchange、Internet Explorer、CAPICOM、Windows DNSが影響を受ける。
今回の更新では、2月15日のアドバイザリ公開以降、未対応だったMicrosoft Wordの脆弱性と、先月13日にアドバイザリが公開されたWindows DNSサーバーのRPCの脆弱性に対応している。この2件の脆弱性について、限定された範囲内でのゼロデイ攻撃が確認されていた。
Office 2000用のパッチはWindows Updateではダウンロードされないため、Office Updateを実行して入手する必要がある。
【更新プログラムの内容】
[緊急]
・Microsoft Excelの脆弱性
BIFFレコードの脆弱性:リモートでコードが実行される脆弱性
フォントの設定の脆弱性:リモートでコードが実行される脆弱性
フィルタ レコードの脆弱性:リモートでコードが実行される脆弱性
・Microsoft Wordの脆弱性
Word配列のオーバーフローの脆弱性:リモートでコードが実行される脆弱性
Wordドキュメントのストリームの脆弱性:リモートでコードが実行される脆弱性
RTFの解析の脆弱性 :リモートでコードが実行される脆弱性
・Microsoft Officeの脆弱性
描画オブジェクトの脆弱性:リモートでコードが実行される脆弱性
・Microsoft Exchangeの脆弱性
Outlook Web Accessのスクリプトインジェクションの脆弱性:情報の漏えい
形式の正しくない iCalの脆弱性:サービス拒否(DoS)
MIMEデコードの脆弱性:リモートでコードが実行される
IMAPリテラル処理の脆弱性:サービス拒否(DoS)
・Internet Explorer用の累積的なセキュリティ更新
COMオブジェクトのインスタンス化のメモリ破損の脆弱性
初期化されていないメモリの破損の脆弱性:リモートでコードが実行される脆弱性
プロパティのメモリ破損の脆弱性:リモートでコードが実行される脆弱性
HTMLオブジェクトのメモリ破損の脆弱性:リモートでコードが実行される脆弱性
任意のファイルの書き換えの脆弱性:リモートでコードが実行される脆弱性
・CAPICOMの脆弱性
CAPICOM.Certificatesの脆弱性:リモートでコードが実行される脆弱性
・Windows DNSのRPCインターフェイスの脆弱性
DNSのRPC管理の脆弱性:リモートでコードが実行される
このほか、新たにRenosに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも提供されている。
(2007/05/09 ネットセキュリティニュース)
■マイクロソフト セキュリティ ホーム(マイクロソフト)
http://www.microsoft.com/japan/security/default.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/
■Office Update
http://office.microsoft.com/ja-jp/officeupdate/default.aspx
■マイクロソフト セキュリティ アドバイザリ (933052)
http://www.microsoft.com/japan/technet/security/advisory/933052.mspx
■マイクロソフト セキュリティ アドバイザリ (935964)
http://www.microsoft.com/japan/technet/security/advisory/935964.mspx