マイクロソフトがExcelのセキュリティホールにパッチ

　Microsoftは米国時間3月9日、表計算ソフトMicrosoft Excelに存在する、7件の潜在的な危険のあるセキュリティホールを修正し、Windowsユーザーが特別に作成されたExcelファイルを開くと、攻撃者が遠隔からコード実行攻撃を受ける可能性があると警告している。

　このMicrosoft Excelに対するアップデートは、3月の月例パッチで提供されるものだ。この月例パッチでは、Windows Movie MakerとMicrosoft Producer 2003に存在する脆弱性についても修正している。

　Excelの脆弱性の1つ（CVE-2010-0263）は、新しく導入されたOpen XMLファイル形式に関する脆弱性としては初めてのものだ。

　このExcelへのアップデート（MS10-017）は、Microsoft Office Excelのサポート対象の全バージョンに影響がある。さらに、Office 2004 for MacおよびOffice 2008 for Mac、Open XML File Format Converter for Mac、サポート対象バージョンのExcel Viewer、SharePoint 2007なども影響を受ける。

　Microsoftのセキュリティレスポンスチームによれば、多くのOfficeの脆弱性の場合と同様に、この脆弱性が悪用されるには、ユーザーが特別に作成されたファイルを開く必要がある。

　2件目のセキュリティ情報（MS10-016）では、影響を受ける製品のリストにMicrosoft Producer 2003が挙げられているにも関わらず、同社はこのソフトウェアに対するパッチを提供していない。

　この件について、MicrosoftのAdrian Stone氏は次のように説明している。

　Producer 2003は無料ダウンロードで提供されており、限定的にしか配布されていない。現時点では、われわれはProducer 2003に対するアップデートを提供していない。われわれの標準的なアプローチは、影響を受けるすべての製品に対して同時に、自動的に適用できるアップデートを作成するというものだが、Producer 2003では自動アップデートの仕組みが提供されていない。われわれの調査に基づき、大多数の顧客を保護する最善の方法は、Windowsと一緒に出荷されたコンポーネントだけを対象とするアップデートをリリースすることだと判断した。Producer 2003に対する調査は継続していくが、顧客に対してはこのアプリケーションをアンインストールするか、提供されているMicrosoft Fix Itを適用して、このアプリケーションからプロジェクトファイル形式への関連付けを外し、セキュリティの層を一段追加することを推奨する。

　Microsoftはまた、セキュリティ情報MS09-033を再リリースし、この問題の影響を受ける製品にVirtual Server 2005を追加した。