Microsoft、5月の月例更新でセキュリティ情報4件公開

Microsoft は13日、5月の月例更新を実施した。今回、新たに公開したセキュリティ情報は4件で、そのうち3件がアプリケーションに関連し、1件がセキュリティ製品に関連する。対応した個別の脆弱性は合計6件で、そのいずれもがクライアント側の問題だ。

4件のセキュリティ情報のうち、深刻度が最大の「緊急」のものは3件だ。残り1件のセキュリティ情報「MS08-029」は、深刻度が4段階中下から2番目の「警告」で、セキュリティ ソフトウェアに関係する。MS08-029 は、『Microsoft Malware Protection Engine』に関し、非公開で報告を受けていた2件の脆弱性に対応している。これらの脆弱性は、サービス不能化 (DoS) 攻撃に悪用されかねないものだ。

深刻度が「緊急」の3件のうち、「MS08-026」では、『Microsoft Word』に新たに見つかった、遠隔コード実行を許しかねない2件の脆弱性に対応した。攻撃者が特別に作成した Word ファイルをユーザーに開かせることにより、プログラムをインストールしたり、データを閲覧/変更/削除したり、完全なユーザー権限を備えた新規アカウントを作成するおそれがある。

次に「MS08-027」だが、これは『Microsoft Office Publisher』に存在する脆弱性に対応している。同脆弱性の悪用シナリオは、MS08-026 と同様だ。

上記2件の問題については、ユーザーの権限を管理者アカウントよりも制限の多いレベルに設定してあれば、脅威が軽減する可能性がある。なお多くのコンピュータは、そうした設定になっている。

最後に「MS08-028」では、『Microsoft Jet 4.0 Database Engine』の脆弱性に対応した。ほかの脆弱性と同じく、この脆弱性は、特別に作成したファイルを介した攻撃により、システムの乗っ取りや変更を許すおそれがある。

なお Microsoft は、今回の月例更新とは別に『Windows XP Service Pack 3 (SP3)』をインストールしたユーザーのため、2年前に公開したセキュリティ情報に補足情報を追加して再公開した。2006年11月公開の「MS06-069」は、XP SP3 にも影響するため、XP SP3 をインストールした場合には、修正プログラムの適用が必要だ。修正プログラムそのものは変わっていない。