Microsoft の3月の月例更新はすべて『Office』関連

Microsoft は11日、3月の月例更新を実施した。今回セキュリティ更新の中心となったのは、生産性スイート『Microsoft Office』だ。公開した個別セキュリティ情報は4件で、そのすべてが深刻度最大の「緊急」になっており、十数件の脆弱性に対応した。Microsoft は直ちにパッチを適用するよう勧告している。

3月の月例更新が Office 製品に集中したのは、同製品に対するセキュリティ問題がこのところ Microsoft 内外の研究者の間で新たな注目を集めているからだ。

今回同社が公開したセキュリティ情報4件は、いずれも未承認の遠隔攻撃を許すおそれがあり、Office を運用するシステムの制御を完全に乗っ取られる危険性があるという。攻撃者はこれらの脆弱性を突けば、悪質なプログラムのインストールやデータの削除、新しいアカウントの作成などが可能になる。

たとえば、攻撃者はアクセス権を使ってマシンの制御を乗っ取ることができ、その事態が明確に分からない可能性もある。Microsoft は、アカウントのユーザー権限が低い設定ならば、管理者ユーザー権限で利用している場合よりも「影響を軽減できる可能性がある」と述べた。

個別のセキュリティ情報を順に見ていくと、1件目は『Excel』に存在する複数の脆弱性に対応した「MS08-014」で、特別な細工を施した Excel ファイルを開くと、未承認の遠隔コード実行を許しかねないという内容だ。

2件目は『Outlook』に存在する脆弱性に対応した「MS08-015」は『Outlook』に存在する脆弱性で、同じく遠隔コード実行を許しかねない。ただし攻撃を成立させるには、ユーザーが「特別に細工した」URI を開く必要がある。

Microsoft によると、単に Outlook のプレビュー画面でメールを表示するだけでは、この脆弱性の影響を受けないという。しかし、ユーザーが該当の URI をクリックして開くと、プログラムのインストールのほか、データの閲覧や変更、あるいは新しいアカウントの作成などを実行されるおそれがある。

3件目は Office 全体に影響を及ぼす一連の脆弱性に対応した「MS08-016」で、ユーザーが「不正な」Office ファイルを開くことで、攻撃者は遠隔アクセスが可能となる。

最後の1件「MS08-017」は、Microsoft Office の Web コンポーネントに存在する脆弱性に対応したもので、他の3件同様遠隔コード実行を許しかねず、システム乗っ取りの危険性がある。