2008年3月のセキュリティリリース (Office 以外も注意)

小野寺です

今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急4件)を公開しました。

今月は、セキュリティ アドバイザリ 947563 でお知らせしていた Excel の脆弱性に対処しました。MS08-014 で対応していう脆弱性のうち CVE-2008-0081 (マクロ検証の脆弱性) がそれに該当します。 悪用は、いわゆるターゲットアタック (スピア型攻撃)であるため、広範には及んでいませんが、先日の「北京オリンピック」で興味をひくようなものもあるので、注意するとともに早期の更新の展開をお勧めします。 ちなみに、OneCare/Forefront ではCVE-2008-0081 を悪用しようとする Excel ファイルは、Exploit:Win32/Exrec.A として検出可能です。

MS08-017 は、影響を受ける製品と展開にいささか注意が必要です。今月は、Office 製品のみが影響を受けるという印象がありますが、MS08-017については、Office Web Component (OWC) を更新しており、このコンポーネントは、いくつかの"Office以外の製品"にも含まれています。また、Office 2000向けの更新のみ公開作業を引き続き行っております。
影響を受ける OWC を含む製品は以下となります。

開発環境 (クライアント)
Visual Studio .NET 2002 Service Pack 1
Visual Studio .NET 2003 Service Pack 1

サーバー環境
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002
Microsoft Commerce Server 2000
Internet Security and Acceleration Server 2000 Service Pack 2

 また、MS08-016は、Office 2003 SP3 は影響を受けないのですが、Microsoft Update によって、Office 2003 SP3 環境にも更新プログラムが展開されます。 これは、セキュリティ更新に含まれているモジュールが、Office 2003 SP3 のモジュール バージョンよりも新しいためです。手動や他の更新システムで配信する場合は、Office 2003 SP3に対してして配信する必要はありません。

今月のセキュリティ情報のストリーミング配信を午後を予定しています。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

Published 12 March 08 10:11 by JSECTEAM

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# hanazukin said on March 11, 2008 8:51 PM:

『Office 2000向けの更新のみ公開作業を引き続き行っております』と書かれていますが、現時点で、

http://www.microsoft.com/technet/security/bulletin/MS08-017.mspx(英語)を見る限り、Microsoft Office 2000 Service Pack 3用の Microsoft Office Web Components 2000はKB931660として公開されているようです(リンク先には飛べませんが)。

また、ダウンロードセンターで上述のKB名で検索した際に

http://www.microsoft.com/downloads/details.aspx?FamilyID=5fddd54f-7a33-4ea3-b68d-b96a9bae509d&DisplayLang=en

が表示されますが、どうみてもBiztalk 2000 - 2002 用ですね。

現時点で、悩んでいます(涙

# GAN said on March 12, 2008 1:09 AM:

WindowsXP SP2 Office2007 SP1 ですから2件しか適用されないはずなんですが、何故か「Microsoft Office Excel 2003 セキュリティ更新プログラム: KB946395」なんてものが降ってきます。

KB946395なんで、少なくとも今回の更新プログラムには関係ないはず。

名前を見るとMS08-014 ぽいのですが、そのMS08-014のどこにもKB946395の記載はありません。

おまけに、Office2007 SP1にはMS08-014のセキュリティホールは無いはず。

そのうちなんかアナウンスされるんでしょか。

# GAN said on March 12, 2008 1:45 AM:

Office2003 SP3を間違えてOffice2007 sp1と書いてしまいました。すいません。

出来ましたら直していただければ。

# JSECTEAM said on March 12, 2008 4:27 AM:

> Hanazukin さん

MS08-017 の Office 2000 むけ更新プログラムは、公開準備中となっています。 ダウンロードセンターで、KB931660 で、Biztalk の更新が見つかるのは、 Biztalk が Office 2000 の OWCを含んでいるため、ダウンロード情報に KB931660 が記載されているのですが、確かにややこしいかもですね。

> GAN さん

ご指摘のKB946395は、MS08-014向けの更新になります。今後 Microsoft Update とセキュリティ情報で何らかの形で整合性はとります。

Office 2003 SP3 向けに更新が適用される県は、セキュリティ情報のFAQにみ記載していますが、ファイルバージョンが、SP3よりも新しいために配信されてしまいます。(ぜい弱性がないことには変りはありません)

# YK said on March 12, 2008 1:18 PM:

MS08-017にはVisual Studio .NET 2002/2003のProfessional Editionも含まれますか?「絵で見るセキュリティ情報」のMS08-017のページにはEnterprise ArchitechtとEnterprise Developerしか書かれていないのですが。

# JSECTEAM said on March 13, 2008 10:48 AM:

> YK さん

MS08-017 の Visurla Studio 向けの更新プログラムは、Enterprise architect と Enterprise developerのみが影響を受けます。

そのため、 Professional Edition は、影響を受けません。

# alectrope said on March 22, 2008 11:58 AM:

2008 年 3 月のセキュリティ情報http://www.microsoft...

Leave a Comment

(required) 
(optional)
(required) 
Page view tracker