米Microsoftは米国時間2009年7月13日,「Microsoft Office Web Components」のActiveXコントロールに存在するセキュリティ・ホールの情報「Microsoft Security Advisory 973472」を公開した。Internet Explorer(IE)で細工されたWebサイトにアクセスすると,遠隔コード実行をされる恐れがある。現時点で修正パッチは提供されていない。
セキュリティ・ホールが存在するのは,スプレッドシートのデータをWebで発行するためのSpreadsheet ActiveXコントロール。ユーザーが悪質なWebサイトに誘導されて特殊なコンテンツにアクセスすると,そのユーザーと同じ権限で勝手にコードが実行される恐れがある。限定的ではあるが,既にこのセキュリティ・ホールを悪用した攻撃が行われているという。IE内でOffice Web Componentsを使わないよう設定すれば攻撃を回避できる。同社は具体的な設定方法をセキュリティ・ホール情報に掲載している。
影響を受けるソフトウエアは以下の通り。
・Office XP SP3
・Office 2003 SP3
・Office XP Web Components SP3
・Office 2003 Web Components SP3
・Office 2003 Web Components for the 2007 Microsoft Office system SP1
・Internet Security and Acceleration(ISA)Server 2004 Standard Edition SP3
・ISA Server 2004 Enterprise Edition SP3
・ISA Server 2006
・ISA Server 2006 Supportability Update
・ISA Server 2006 SP1
・Office Small Business Accounting 2006
[Microsoft Security Response Center公式ブログへの投稿記事]
[セキュリティ情報]
