現在地 HOME > 掲示板 > IT1 > 858.html ★阿修羅♪ |
|
(回答先: 【特集MS】ウィンドウズの誕生 投稿者 愚民党 日時 2003 年 9 月 05 日 04:10:18)
企業は世間様の支持を失うと、延命できません・・・
---------------
VBAの脆弱性など、Officeに複数のセキュリティホール
「信頼できるコンピューティング」戦略を推進するMicrosoftだが、ここのところセキュリティ警告が相次いでおり、同社に対する世間の目は厳しくなっている。
http://www.zdnet.co.jp/enterprise/0309/04/epn06.html
Microsoftは9月3日、多数のOfficeアプリケーションに影響する深刻度レベル「緊急(Critical)」の脆弱性など、またも一連のセキュリティホールについて警告を発した(別記事参照)。
今回報告されたうち最も深刻な問題はVisual Basic for Applications(VBA)に関連したもので、攻撃者にPCを乗っ取られる危険がある。VBAは、ほかのMicrosoft製品と連携するデスクトップアプリケーションの開発に使われている。
Microsoftのセキュリティ警告に詳述されているように、悪意を持ったユーザーがVBAアプリケーション付きの文書を作成し、そのVBAアプリケーションによってバッファ(プログラムに割り当てられたメモリ)をオーバーフローさせた後、ほかのコードを実行する恐れがある。
この脆弱性はVBAスクリプティングをサポートするOfficeの最近のバージョンに影響する。具体的には、Access、Excel、PowerPoint、Wordの2002/2000/97版、ProjectとVisioの2002/2000版、Works Suiteの2002/2001/2000版。また会計ソフトのGreat Plainsバージョン7.5など、MicrosoftがBusiness Solutionsブランドで販売している幾つかのアプリケーションも対象だ。
多くの場合、ユーザーが問題のある文書を受け取って開かない限り、攻撃を受けることはない。しかし、Microsoftの電子メールクライアントソフトOutlookでHTML編集用のデフォルトソフトにWordが指定されている場合は、悪質な添付書類付きメッセージへの返信や転送によって、この脆弱性が悪用される恐れがある。
Microsoftはセキュリティ警告とOffice Updateのサイトで適切なパッチの適用を促すとともに、安全な電子メール処理方法に従うよう勧めている。
「知らない人からの添付書類や、届く予定のない何かを受け取ったら、十分に注意すべきだ」とMicrosoftのOfficeプロダクトマネジャー、サイモン・マークス氏。
Microsoftがこの日に出したほかのセキュリティ警告も、ほとんどがOfficeアプリケーション絡み。Wordの最近のバージョンに、攻撃者によるマクロの自動実行を許す脆弱性が発見された。マクロは日常的な作業を自動化するのによく使われる小さなプログラム。この脆弱性の深刻度レベルは「重要(Important)」に指定されている。Microsoftの警告によると、悪意を持って作られた文書を開いた場合にこの脆弱性が悪用される可能性がある。MicrosoftはWordの2002/2000/98/97版、およびWorks Suiteの2003/2002/2001版のユーザーにパッチの適用を促している。
また、CorelのWordPerfectに関連付けられたフォーマットで作成された文書をOfficeプリケーションが変換する方法に、バッファオーバーフローの脆弱性が見つかった。Microsoftのセキュリティ警告はこの脆弱性の深刻度レベルを「重要(Important)」に指定、Office、FrontPage、Publisher、Works Suiteの最近のバージョンに影響するとしている。
さらにOffice関連でもう一つ、深刻度レベル「警告(Moderate)」に指定されたバッファオーバーフローの脆弱性が見つかった。悪意を持って作られた文書を、PCユーザーがデータベースソフトのAccessに備わった「Snapshop Viewer」を使って開いた後で、任意のコードを実行される恐れがあるというもの。この脆弱性はAccess 2002/2000/97に影響、パッチの適用によって修正できる。
最後に、Windowsの最近のバージョンに含まれているネットワーキングコンポーネントNetBIOS(Network Basic Input/Output System)に関係する脆弱性も報告された。これの深刻度レベルは「注意(Low)」に指定されている。特定の条件下で、ネットワーククエリへのレスポンスに、PCメモリからランダムなデータが含まれる可能性があり、この結果、機密データが漏洩する恐れがあるという。Microsoftの警告によると、この脆弱性は、Windowsの最近のバージョンに含まれたセキュリティソフトInternet Connection Firewallが通常遮断するPCリソースを使っている。
「信頼できるコンピューティング」戦略を通して自社ソフトの信頼性強化に注力しているMicrosoftだが、ここのところ立て続けにセキュリティ警告を出していることから、同社に対する世間の目は厳しくなっている。
-------------