米Microsoftは5月11日(現地時間)、予告通りに2件の月例セキュリティ情報を公開し、OutlookとOfficeの脆弱性に対処した。最大深刻度は2件とも、4段階で最も高い「緊急」となっている。
Outlook Express、Windows Mail、Windows Live Mailの脆弱性を解決した「MS10-030」の更新プログラムは、Windows 2000/XP/Vista、Windows Server 2003/2008が深刻な影響を受ける。Windows 7とWindows Server 2008 R2では、脆弱性のあるメールクライアントがインストールされている場合のみ影響を受ける。
脆弱性はWindowsメールクライアントがメール応答を処理する方法に存在する。攻撃者はこの問題を突いて中間者攻撃を仕掛け、クライアントへの応答を改ざんしようとする恐れがある。
Office向けの更新プログラム「MS10-031」では、開発ツールのVisual Basic for Applications(VBA)に存在する脆弱性を解決した。細工を施したファイルがホストアプリケーションで開かれてVBAランタイムに受け渡された場合、攻撃者にリモートでコードを実行される恐れがある。
この脆弱性は、VBA SDK 6.0およびVBAを使ったサードパーティーアプリケーションが深刻な影響を受ける。Office XP、Office 2003/2007、Microsoft Office Systemの深刻度は1段階低い「重要」レベル。
今回の脆弱性は2件とも、Microsoftに非公開で報告されたものだという。悪用可能性指標はいずれも「2」であり、安定した悪用コードが1カ月以内に出回る可能性は低いとMicrosoftは見込んでいる。
4月に発覚したSharePoint Serverの脆弱性については、5月月例でのセキュリティ更新プログラムの提供を見送った。現時点ではこの問題を突いた実質的な攻撃は確認されていないものの、Microsoftはアドバイザリーに記載された回避策を取るようユーザーに呼び掛けている。