“Windows Update”

　マイクロソフト（株）は13日、Windows/IE/Word/MSN Messengerに“緊急”レベルの脆弱性が5個、“重要”レベルが3個あるとし、毎月公開される修正プログラムの4月版としてセキュリティ修正プログラムを公開した。現在、同社Webサイト、または“Windows Update”“Office アップデート”を利用して、修正プログラムを無償でダウンロードできる。

　Windows 2000 SP3/2000 SP4/XP SP1/XP XP2/Server 2003が対象の“MS05-019”は、TCP/IPプロトコルで不正なデータを送りつけられると、任意のコードが実行される脆弱性を修正するプログラム。“MS05-016”や“MS05-018”も、Windows 2000 SP3/2000 SP4/XP SP1/XP XP2/Server 2003が対象となる修正プログラムで、悪意のある文書ファイルを開くと任意のコードが実行される脆弱性や、攻撃者が実際にパソコンを操作することでローカルファイルが読み取られる脆弱性を修正する。“MS05-017”は“メッセージキュー”機能を呼び出す「Microsoft BizTalk Server」のようなサーバーソフトを利用していると、リモートで任意のコードが実行される脆弱性を修正するプログラムで、Windows 2000 SP3/2000 SP4/XP SP1上が対象となる。

　また“MS05-020”はIEの累積的修正プログラムで、悪意のあるWebページを閲覧しただけで任意のコードが実行される脆弱性を修正する。対象となるのは、Windows 2000 SP3上のIE 5.01 SP3、Windows 2000 SP4上のIE 5.01 SP4、Windows 2000 SP3/2000 SP4/XP SP1上のIE 6 SP1、Windows XP SP2上のIE 6（6.0.2900.2180）、Windows Server 2003上のIE 6（6.0.3790.0）。

　“MS05-023”は、悪意のある文書を開くと任意のコードが実行されるという「Microsoft Word」の脆弱性を修正するプログラムで、「Microsoft Word」2000/2002/2003および「Microsoft Works Suite」2001/2002/2003/2004が対象となる。また、「Microsoft Exchange」2000 SP3/Server 2003/Server 2003 SP1が対象の“MS05-021”は、不正なリクエストにより任意のコードが実行される脆弱性を修正するもの。

　そのほか“MS05-022”は、「MSN Messenger」の旧バージョンであるv6.2が対象となる修正プログラムで、悪意のある画像を受信すると任意のコードが実行される脆弱性が修正される。また、最新版であるv7.0は同脆弱性の影響を受けないため、v7.0へアップデートする方法もある。

　なお、“MS05-016”“MS05-017”“MS05-018”“MS05-019”“MS05-020”で修正される脆弱性はWindows 98/Meも影響を受けるが、現時点で修正プログラムは用意されていない。

□Microsoft Security ホーム
http://www.microsoft.com/japan/security/default.mspx

（中井 浩晶）