マイクロソフトは9日、月例で提供しているセキュリティ更新プログラム(月例パッチ)の4月分を公開した。危険度を表す最大深刻度が最も高い「緊急」の脆弱性が5件公開されている。現時点では公開された脆弱性を使った攻撃は確認されておらず、該当するユーザーは至急パッチを適用する必要がある。

MS08-021

GDI の脆弱性により、リモートでコードが実行される (948590)」は、Windowsでグラフィックを処理する「GDI」に2つの脆弱性が存在。メタ画像ファイルのWMF/EMFを処理する際にリモートでコードが実行され、コンピュータの制御が完全に奪われる可能性がある。Webサイトへのアクセス、HTMLメールのプレビューだけでも攻撃が行われる可能性がある。

Windows 2000 SP4/XP SP2/Server 2003/Vista/Server 2008が影響を受け、いずれも深刻度は「緊急」。

MS08-022

VBScript および JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (944338)」は、WindowsのスクリプトエンジンであるVBScriptとJScriptに脆弱性が存在。スクリプトに施された難読化をデコードする処理に問題があり、細工されたスクリプトファイルを開いた場合にリモートでコードが実行され、コンピュータの制御が完全に奪われる危険性がある。

基本的には両スクリプトエンジンを使うInternet Explorerが危険にさらされるが、同エンジンを使うブラウザであれば同様にWebサイトにアクセスしてスクリプトが実行されると攻撃が行われる。

影響を受けるのはWindows 2000 SP4/XP SP2/Server 2003。最大深刻度はいずれも「緊急」。

MS08-023

ActiveX Kill Bit 用のセキュリティ更新プログラム (948881)」は、Windowsの特定のActiveXコンポーネントに脆弱性が存在。Webページ経由でこのコンポーネントが呼び出され、リモートでコードが実行される危険性がある。このコンポーネントはMicrosoft Help 2.0と呼ばれる古いHelpファイルで、本来はブラウザから呼び出されることはないため、Kill Bitが配布された。

また、同様に米Yahoo!が提供する音楽ソフト「Yahoo! Music Jukebox」の旧バージョンのActiveXコンポーネント向けのKill Bitも配布される。同ソフトには今年2月に危険な脆弱性が発見されており、脆弱性が残る旧バージョンがブラウザから呼び出されないようにするための処置だ。

これまでActiveX用のKill BitはIEのパッチとともに配布されてきたが、今月からIEとは別に配布されるようになった。Yahoo! Music Jukebox向けのKill Bitのように、ベンダーとユーザーからの要望があれば、サードパーティ向けのKill Bitも今後配布するという。

MS08-024

Internet Explorer 用の累積的なセキュリティ更新プログラム (947864)」は、IEがデータを受信する際のデータストリーム処理に問題があり、メモリが破損してリモートでコードが実行される。これにより、Webサイトにアクセスしただけで攻撃が行われる可能性がある。

影響を受けるのはIE 5.01 SP4/6/7。最大深刻度はいずれも「緊急」。

MS08-025

Windows カーネルの脆弱性により、特権が昇格される (941693)」は、ローカルで特別な細工がされたプログラムが実行されると、権限が昇格する脆弱性が存在する。最悪の場合、コンピュータの制御が完全に奪われる危険性がある。影響を受けるのはWindows 2000 SP4/XP SP2/Server 2003/Vista/Server 2008。最大深刻度は「重要」。

MS08-018

Microsoft Project の脆弱性により、リモートでコードが実行される (950183)」は、Microsoft ProjectがProjectファイルを開く際の処理に脆弱性が存在し、リモートでコードが実行される危険性がある。影響を受けるのはProject 2000/2002/2003。最大深刻度はProject 2000が「緊急」、それ以外は「重要」、全体では「緊急」となっている。

MS08-019

Microsoft Visio の脆弱性により、リモートでコードが実行される (949032)」は、Microsoft Visioがファイルを開く処理に脆弱性が存在、リモートでコードが実行される危険性がある。影響を受けるのはVisio 2002/2003/2007で、最大深刻度はいずれも「重要」。

MS08-020

DNS クライアントの脆弱性により、なりすましが行われる (945553)」は、DNSクライアントがクエリを実行する際に使われるランダムなシーケンシャルナンバーを予測手法が見つかり、悪意のあるDNSサーバから偽の応答を返すことが可能というなりすましの脆弱性。対象となるOSはWindows 2000/XP/Server 2003/Vistaで、Vista SP1/Server 2008は影響を受けない。