MS、5月の月例パッチを公開--「Windows」「Office」の脆弱性に対処

　Microsoftは米国時間5月11日、同社の電子メールプログラムと、「Microsoft Office」に組み込まれた開発言語「Visual Basic for Applications（VBA）」の脆弱性を修正する、深刻度が「緊急」のセキュリティ情報2件を公開した。

　セキュリティ情報「http://www.microsoft.com/japan/technet/security/bulletin/ms10-030.mspx" target="_blank">MS10-030」は、「Outlook Express」「Windows Mail」「Windows Live Mail」の脆弱性に対処している。この脆弱性は、メールサーバの改ざん、悪意あるメールサーバのホスティング、クライアントとサーバの間の通信を傍受する中間者攻撃などによって、攻撃者に悪用されるおそれがある。

　セキュリティ情報「http://www.microsoft.com/japan/technet/security/bulletin/ms10-031.mspx" target="_blank">MS10-031」は、VBAの脆弱性に対処している。これにより攻撃者は、ホストアプリケーションが特別に細工されたファイルを表示し、VBAのランタイム環境に渡す場合に、リモートでコードを実行できるようになる可能性がある。更新プログラムは、VBAがドキュメントに組み込まれたActiveXコントロールを検索する方法を変更することにより、この問題を解決している。

　Microsoftによるhttp://www.microsoft.com/japan/technet/security/bulletin/ms10-may.mspx" target="_blank">セキュリティ情報の概要によると、今回の主要な脆弱性への攻撃が成功すると、攻撃者にコンピュータを完全に制御されるおそれがあるという。今回のセキュリティ情報は、「Windows 2000」「Windows XP」「Windows Vista」「Windows 7」「Windows Server 2003」「Windows Server 2008」「Microsoft Office XP」「Microsoft Office 2003」「2007 Microsoft Office System」「Microsoft Visual Basic for Applications」「Microsoft Visual Basic for Applications SDK」が影響を受ける。ただし、同社のブログhttp://blogs.technet.com/msrc/archive/2010/05/11/may-2010-security-bulletin-release.aspx" target="_blank">「Microsoft Security Response Center」の投稿によると、Windows 7と「Windows Server 2008 R2」については、デフォルトの設定では影響を受けないという。

　2010年4月下旬に明らかにされた「SharePoint Services 3.0」「SharePoint Server 2007」の脆弱性については、Microsoftは今もなお修正に取り組んでいる。この脆弱性は、ブラウザを通じてクロスサイトスクリプティング攻撃をもたらすおそれがあるもので、概念実証コードがすでに公開されている。

　Adobe Systemsも同じ5月11日、http://www.adobe.com/support/security/bulletins/apsb10-12.html" target="_blank">「Shockwave Player」の重大なセキュリティアップデートと、http://www.adobe.com/support/security/bulletins/apsb10-11.html" target="_blank">「ColdFusion」の深刻度の低いセキュリティアップデートを公開した。