■「Officeのオブジェクト・ライブラリにメモリ・アクセス・エラーの脆弱性」は未解消
Officeには、2006/07/12日付けHotFix Weeklyで報告済みの「オブジェクト・ライブラリのメモリ・アクセス・エラーの脆弱性」が存在する。この脆弱性も、MS06-062で置き換える「mso9.dll/mso.dll」に起因するものである。
DA LabでMS06-062の修正プログラムを適用したOffice 2000/XP/2003環境を用意し、この脆弱性を検証するWordファイルを開いたところ、いずれの環境においてもWordが異常終了し、脆弱性が依然として存在することが明らかになった。この脆弱性は、MS06-038/048で解消されておらず、今回のMS06-062で3回見送られたことになる。「mso9.dll/mso.dll」には、解消されていない脆弱性が依然として存在することになる。
すでに実証コード(脆弱性を検証するためのWordファイルを作成するもの)が公開されていることから、危険性は高まっている。Officeについては、MS06-062の修正プログラムの適用後も引き続き注意した方がよい。
・HotFix Weekly 2006/07/12日付け(Officeのオブジェクト・ライブラリにメモリ・アクセス・エラーの脆弱性):
http://www.hotfix.jp/archives/alert/2006/news06-0712.html#02
・脆弱性識別番号(CVE-2006-3493):
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3493
■OfficeとProject/VisioではそれぞれでMS06-062の修正プログラム適用が必要
Office Update/Windows Update/自動更新では、OfficeとProject/Visioの両方がインストールされている環境において、MS06-062の修正プログラムをそれぞれに適用することが求められる。例えば、Office
XP SP3とVisio 2002 SP2がインストールされている環境では、MS06-062のOffice XP向けとVisio 2002向けの修正プログラムの適用が必要になる。
Office XP向けには、Visio 2002向けの修正(同じMSO.DLLを置き換える)が含まれるので、本来ならばOffice XP向けを適用すれば、Visio
2002向けの適用は不要なはずだ。逆にVisio 2002向けには、Office XP向けは包含されていない(IETAG.DLLが置き換わらない)ので、このような仕様になっているものと思われる。OfficeとProject/Visioの両方をインストールしている環境では、各製品向けのMS06-062の修正プログラムを適用しておいた方がよいだろう。
■Office XP向けとProject 2002向けの修正プログラムのファイル名は同じ
MS06-062の修正プログラムは、Office XP向けとProject 2002向けで異なるが、ファイル名は共通だ。具体的には、Office XP向けは「officexp-KB923273-FullFile-JPN.exe」で、Project
2002向けは「officeXP-KB923273-FullFile-JPN.exe」である。「xp」の大文字と小文字の違いはあるが、ファイル名は同じとして扱われる。
もちろんOffice XP向けの修正プログラムは、Project 2002には適用できないし、その逆も同様だ。ダウンロード・センターなどから修正プログラムをダウンロードした際は、フォルダを分けるなどして、両方の修正プログラムを混同しないように管理した方がよい。
■Office 2000/Project 2000向けはOffice Updateで提供
MS06-062のOffice 2000/Project 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft
UpdateやWSUSはOffice 2000/Project 2000に対応していないため、MS06-062の修正プログラムは表示されないので注意が必要だ(自動更新でも適用されない)。ダウンロード・センターで修正プログラムを入手して手動で適用を行うか、Office
Updateを実行する必要がある。
なおOffice XP/2003、Project 2002/Visio 2002向けの修正プログラムは、Microsoft Update/WSUSで提供されるため、ほかのセキュリティ修正プログラムとともに選択・適用が可能だ。
■修正プログラムのアンインストールに必要な条件
Office 2002/2003向けの修正プログラムは、以下の条件を満たせばアンインストール可能である。Office 2000、Project 2000/2002、Visio
2002向けの修正プログラムはアンインストールできないので適用前に十分な検証を行った方がよい。
- OSがWindows XP SP2またはWindows Server 2003 SP1
- Windows Installer 3.0以降をインストールした後で修正プログラムを適用
- OfficeのインストールCDにアクセス可能
|