［世界］
Microsoft、月例パッチを11日に公開――Officeのみ4件、すべて緊急

Outlook、Excel、Office Web Componentsのバグに対応

（2008年03月07日）

　米国Microsoftは3月6日、3月の月例パッチとして、Microsoft Officeの全バージョンに向けた4件のセキュリティ更新プログラムを3月11日にリリースすると発表した。いずれも危険度が最も高い「緊急」に位置づけている。

　対象となるのは、Office 2000、Office XP、Office 2003、Office 2007、およびMac版のOffice 2004とOffice 2008だ。

　月例パッチの件数は2月の11件と比べると少ないが、対象となるのがOfficeのみというのは異例のようだ。米国のセキュリティ・ソリューション・ベンダーnCircleのセキュリティ業務担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏は、「きわめてまれなケースだ。（対象が）いずれもOffice関連であり、しかもすべて緊急になっているケースなどこれまで見たことがない」と語っている。

　しかしStorms氏は、「Officeで脆弱性が見つかるのは、さほど珍しいことではない。いつかはこのようなことがあると考えていた」とも指摘した。2月にリリースされたパッチにも、Officeを対象としたものが数件含まれていた。

　Storms氏は、今回明らかになった脆弱性について、「十分な情報がないので詳細を語るにはまだ早い」としつつ、内容の大枠についてコメントしてくれた。

　6日に発表されたパッチについての説明書には、Outlookで見つかったバグに対応する「Bulletin 2」という更新プログラムの解説が含まれている。それによると、Bulletin 2は、Outlook 2007を含む、Outlookの全バージョンに関係するもののようだ。「（Outlookの最新バージョンである）Outlook 2007に、緊急とされる脆弱性があるというのは驚きだ」（Storms氏）

　Microsoftがサポートする最も古いバージョンであるOffice 2000は、以前に施されたファイル・フォーマットの改良などによって、新しいバージョンより危険度は低いと見られている。しかし、それでも今回明らかになったOutlookのバグは、Outlook 2000に対する緊急の対策を要するものとなっている。この点についてStorms氏は、「おそらく（脆弱性が頻繁に指摘される）フォーマット解析の問題ではなく、コードの根幹にかかわる問題なのだろう」と指摘した。

　その他の3つの更新プログラムは、Excelのファイル・フォーマットのバグに対応するもの、Excel自体のバグに対応するもの、Office Web Components（Office 2003の拡張機能）のバグに対応するものだ。

　なお、2月の月例パッチで、リリース直前に外されたVBScriptとJScriptに対応するパッチは、今回のパッチにも含まれていない。

　Microsoftは、米国東部時間の11日午後1時ごろに更新プログラムをリリースする予定だ。また、セキュリティとは無関係の3つの更新プログラムも同時にリリースするという。

(Gregg Keizer／Computerworld オンライン米国版)