2008年3月のセキュリティリリース (Office 以外も注意)


小野寺です


今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急4件)を公開しました。


今月は、セキュリティ アドバイザリ 947563 でお知らせしていた Excel の脆弱性に対処しました。MS08-014 で対応していう脆弱性のうち CVE-2008-0081 (マクロ検証の脆弱性) がそれに該当します。 悪用は、いわゆるターゲットアタック (スピア型攻撃)であるため、広範には及んでいませんが、先日の「北京オリンピック」で興味をひくようなものもあるので、注意するとともに早期の更新の展開をお勧めします。 ちなみに、OneCare/Forefront ではCVE-2008-0081 を悪用しようとする Excel ファイルは、Exploit:Win32/Exrec.A として検出可能です。


MS08-017 は、影響を受ける製品と展開にいささか注意が必要です。今月は、Office 製品のみが影響を受けるという印象がありますが、MS08-017については、Office Web Component (OWC) を更新しており、このコンポーネントは、いくつかの"Office以外の製品"にも含まれています。また、Office 2000向けの更新のみ公開作業を引き続き行っております。
影響を受ける OWC を含む製品は以下となります。


開発環境 (クライアント)
Visual Studio .NET 2002 Service Pack 1
Visual Studio .NET 2003 Service Pack 1


サーバー環境
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002
Microsoft Commerce Server 2000
Internet Security and Acceleration Server 2000 Service Pack 2


 また、MS08-016は、Office 2003 SP3 は影響を受けないのですが、Microsoft Update によって、Office 2003 SP3 環境にも更新プログラムが展開されます。 これは、セキュリティ更新に含まれているモジュールが、Office 2003 SP3 のモジュール バージョンよりも新しいためです。手動や他の更新システムで配信する場合は、Office 2003 SP3に対してして配信する必要はありません。


今月のセキュリティ情報のストリーミング配信を午後を予定しています。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

Comments (7)
  1. hanazukin より:

    『Office 2000向けの更新のみ公開作業を引き続き行っております』と書かれていますが、現時点で、

    http://www.microsoft.com/technet/security/bulletin/MS08-017.mspx(英語)を見る限り、Microsoft Office 2000 Service Pack 3用の Microsoft Office Web Components 2000はKB931660として公開されているようです(リンク先には飛べませんが)。

    また、ダウンロードセンターで上述のKB名で検索した際に

    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fddd54f-7a33-4ea3-b68d-b96a9bae509d&DisplayLang=en

    が表示されますが、どうみてもBiztalk 2000 – 2002 用ですね。

    現時点で、悩んでいます(涙

  2. Gan より:

    WindowsXP SP2 Office2007 SP1 ですから2件しか適用されないはずなんですが、何故か「Microsoft Office Excel 2003 セキュリティ更新プログラム: KB946395」なんてものが降ってきます。

    KB946395なんで、少なくとも今回の更新プログラムには関係ないはず。

    名前を見るとMS08-014 ぽいのですが、そのMS08-014のどこにもKB946395の記載はありません。

    おまけに、Office2007 SP1にはMS08-014のセキュリティホールは無いはず。

    そのうちなんかアナウンスされるんでしょか。

  3. Gan より:

    Office2003 SP3を間違えてOffice2007 sp1と書いてしまいました。すいません。

    出来ましたら直していただければ。

  4. JSECTEAM より:

    > Hanazukin さん

    MS08-017 の Office 2000 むけ更新プログラムは、公開準備中となっています。 ダウンロードセンターで、KB931660 で、Biztalk の更新が見つかるのは、 Biztalk が Office 2000 の OWCを含んでいるため、ダウンロード情報に KB931660 が記載されているのですが、確かにややこしいかもですね。

    > GAN さん

    ご指摘のKB946395は、MS08-014向けの更新になります。今後 Microsoft Update とセキュリティ情報で何らかの形で整合性はとります。

    Office 2003 SP3 向けに更新が適用される県は、セキュリティ情報のFAQにみ記載していますが、ファイルバージョンが、SP3よりも新しいために配信されてしまいます。(ぜい弱性がないことには変りはありません)

  5. YK より:

    MS08-017にはVisual Studio .NET 2002/2003のProfessional Editionも含まれますか?「絵で見るセキュリティ情報」のMS08-017のページにはEnterprise ArchitechtとEnterprise Developerしか書かれていないのですが。

  6. JSECTEAM より:

    > YK さん

    MS08-017 の Visurla Studio 向けの更新プログラムは、Enterprise architect と Enterprise developerのみが影響を受けます。

    そのため、 Professional Edition は、影響を受けません。

  7. Anonymous より:

    2008 年 3 月のセキュリティ情報http://www.microsoft

Comments are closed.

Skip to main content