マイクロソフトは、Internet Explorer（IE） 7がインストールされたWindows XP SP2とWindows Server 2003 SP1／R2／SP2において、URI処理が正しく検証されずにWindowsシェルに引き渡されることで、任意のコードが実行される危険性があることをセキュリティ・アドバイザリで明らかにした。

・セキュリティ・アドバイザリ 943521（Windows Internet Explorer 7 がインストールされた Windows XP および Windows Server 2003 の URL の処理の脆弱性により、リモートでコードが実行される）：
http://www.microsoft.com/japan/technet/security/advisory/943521.mspx

　IE 7をインストールすると、Windowsコンポーネントが更新され、URL／URIを処理方法が変更される。この変更にともない、正しく検証されていないURL／URIがWindows OSに引き渡されると、URL／URIに含まれる任意のコードやコマンドが実行されてしまうということだ。

　Juergen Schmidt氏によれば、「%」と.CMDや.BATといった拡張子で囲んだ「mailto」URIを記述することで、その間に書かれたコマンドが実行可能であるという。

・Full-Disclosure（[Full-disclosure] URI handling woes in Acrobat Reader, Netscape,）：
http://marc.info/?l=full-disclosure&m=119159477404263&w=2

　例えば、以下のURIを［ファイル名を指定して実行］で指定すると、calc.exe（電卓）が起動する。

　同様に、Adobe Reader／Acrobatのリンクを細工することでも、この脆弱性が悪用可能であるとしている。すでにAdobe Systemsでは、この脆弱性に対してAdobe Reader／Acrobat側でも解消を図るとしており、近日中に修正プログラムの提供を行うことを明らかにしている。

・Adobe Systems（Workaround available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat）：
http://www.adobe.com/support/security/advisories/apsa07-04.html

　現在、マイクロソフトもこの脆弱性に対する修正プログラムを開発しているとしている。すでに実証コードが公開されていることから悪用される危険性が高くなっている。修正プログラムが提供されるまでは、怪しいファイルを開いたり、リンクをクリックしたりしないように運用で回避する必要がある。

脆弱性識別番号：
・CVE-2007-3896
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3896

・CVE-2007-5020
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5020

HotFix Report BBS関連スレッド：
・Windows XP／Server 2003＋IE7にコード実行の脆弱性、修正プログラム未提供
http://bbs.hotfix.jp/ShowPost.aspx?PostID=7068

　マイクロソフトは、Excel 2007に計算結果を正しく表示しない不具合があることを明らかにし、その不具合を解消するための修正プログラムの提供を開始した。「サポート技術情報：943075」ならびにMicrosoftのExcelチームのBlog「The team blog for Microsoft Excel and Excel Services」によると、数値「65,535」の周辺で計算結果の表示がおかしくなるということだ。例えば、77.1×850の計算結果が、Excel 2007では「100,000」と表示されてしまう（正しくは65,535）。計算値自体には誤りはなく、「100,000」と表示されたセル（例えばA1）を2倍（A1*2）すると、値は正しく「131,070」と表示される。

・サポート技術情報 943075（Excel 2007 ホットフィックス パッケージの説明:2007年 October 9日）：
http://support.microsoft.com/default.aspx?scid=kb;ja;943075（機械翻訳）

・The team blog for Microsoft Excel and Excel Services（Calculation Issue Update）：
http://blogs.msdn.com/excel/archive/2007/09/25/
calculation-issue-update.aspx

　The team blog for Microsoft Excel and Excel Servicesでは、誤った計算結果が表示される計算式として、「5.1*12850（＝65,535）」「10.2*6425（＝65,535）」「20.4*3212.5（＝65,535）」を挙げている。DA Labでも、これらの計算式をExcel 2007で計算させたところ、いずれも「100,000」と誤った値が表示されることを確認した。

　すでにこの不具合を解消する修正プログラムが提供されている。上記のサポート技術情報の中に修正プログラムへのリンクが記載されているので、そのリンクをクリックすることで修正プログラムが入手可能だ。なお現時点では、Microsoft Update／自動更新では配布されていない。

　場合によっては、業務に重大な支障をきたす危険性もある不具合のため、Excel 2007を利用している場合はなるべく早く修正プログラムを適用した方がよい。

HotFix Report BBS関連スレッド：
・Excel 2007に計算結果を正しく表示できない不具合、修正プログラムあり（KB943075）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=7260