米Microsoftのセキュリティ・チーム「Microsoft Security Response Center(MSRC)」は6月24日,6月20日に第三者によって公表されたMicrosoft Excelの「第3のセキュリティ・ホール」は仕様であり,セキュリティ・ホールではないことを明らかにした。
6月中旬以降,Excel関連のセキュリティ・ホールが相次いで見つかっている。6月16日には,細工が施されたExcelファイルを開くだけで悪質なプログラムを実行されるセキュリティ・ホールが,6月20日には文書中のリンクをクリックすると被害に遭うセキュリティ・ホールが公表された(関連記事:Excelにパッチ未公開のセキュリティ・ホール,関連記事:またもやWindowsにパッチ未公開のセキュリティ・ホール)。
いずれについても修正パッチ(セキュリティ更新プログラム)は未公表。前者については,回避策などをまとめた「セキュリティアドバイザリ」がマイクロソフトから公開されている(関連記事:マイクロソフトが回避策を公表)。後者についてはExcelが影響を受けるものの,セキュリティ・ホールはWindowsに含まれるライブラリ「hlink.dll」に存在する。
これらに続く「第3のパッチ未公開セキュリティ・ホール」として6月20日,細工が施されたExcelファイルを開くだけで,ActiveXコントロール(Shockwave Flash Object)が呼び出されて任意のコードが実行される問題が公表された(CVE-2006-3014,SecurityTrackerの情報)。
しかしながらMSRCによると,ActiveXコントロールが呼び出されること自体はExcel(Office製品)の仕様であり,セキュリティ・ホールではないとする。脆弱な(セキュリティ・ホールが存在する)ActiveXコントロールがパソコンに存在する場合のみ,この仕様を攻撃者に悪用される恐れがあるという。
仕様を悪用されないための対策としては,脆弱なActiveXコントロールが呼び出されないように「Kill Bit」を設定することを挙げている(マイクロソフトの情報:Internet Explorer で ActiveX コントロールの動作を停止する方法)。ただしMSRCによれば,この仕様を悪用できるようなActiveXコントロールを現時点では確認していないという。また,悪用した攻撃や被害についても報告を受けていないとする。
MSRCでは今後も調査を続け,必要に応じて追加情報などを提供する予定である。
◎参考資料
◆An update on recent public issues(Microsoft Security Response Center Blog)
◆Microsoft Excel 'Shockwave Flash Object' Lets Remote Users Execute Code Automatically(SecurityTracker)
◆CVE-2006-3014(Common Vulnerabilities and Explosures)
