マイクロソフトは2010年5月12日、OfficeやOutlook Expressなどに関するセキュリティ情報を2件公開した。いずれも、最大深刻度(危険度)は最悪の「緊急」。例えば、細工が施されたファイルを開くと、悪質なプログラム(ウイルスなど)を実行される危険性がある。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)を適用すること。
今回公開されたセキュリティ情報は以下の2件。
(1)[MS10-030]Outlook ExpressおよびWindowsメールの脆弱性により、リモートでコードが実行される (978542)
(2)[MS10-031]Microsoft Visual Basic for Applications(VBA)の脆弱性により、リモートでコードが実行される(978213)
(1)は、Outlook ExpressやWindowsメール、Windows Liveメールに関するセキュリティ情報。これらのメールソフトには、メールサーバーから受信したデータの処理に問題が見つかった。メールサーバーから細工が施されたデータを送信されると、データに含まれるウイルスなどを実行される危険性がある。
この脆弱性を悪用するには、ユーザーのメールソフトを、攻撃者が用意したメールサーバーにアクセスさせる必要がある。通常、メールサーバーの設定方法はISPや企業/組織などに指定されているので、「メールソフトのサーバー設定を、不正なメールサーバーに変更させるのは困難だろう」(カスタマーサービス&サポート セキュリティレスポンスチーム セキュリティレスポンスマネージャの小野寺匠氏)。
悪用のシナリオとしては、(a)ISPなどをかたったメールなどで、ユーザーをだまして設定変更させる(b)サーバーの設定を勝手に変更するプログラムをユーザーに実行させる――といった手口が考えられるものの、あまり現実的ではないだろうという。
(2)は、Officeのマクロ言語などに使われるプログラミング言語「Visual Basic for Applications(VBA)」の処理に関するセキュリティ情報。OfficeやVBAランタイムなどには、VBAの処理に問題があることが明らかとなった。
影響を受けるのは、Office XP/2003/2007、Windowsに含まれるVBAランタイム(VBE6.DLL)、Visual Basic for Applications SDK。Visual Basic for Applications SDKは、ソフトメーカーのサミット・ソフトウエア・カンパニーが、マイクロソフトから技術ライセンスを受けて販売している開発ツール。
細工が施されたOffice文書ファイル(Word文書、Excelスプレッドシート、PowerPointプレゼンテーションなど)やスクリプトファイルを開くと、中に仕込まれたウイルスなどを実行される恐れがある。
ただしOffice製品では、悪質なファイルを開こうとした時点で、初期設定ではマクロのセキュリティ警告が表示される。このため、マクロのセキュリティ設定を変更していなければ、ファイルを開いただけで被害に遭うことはない。
対策は修正パッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもダウンロードできる。
ただし、Visual Basic for Applications SDKの修正については、販売元のサミット・ソフトウエア・カンパニーから入手する必要がある。同社では、今回の脆弱性を修正したVisual Basic for Applications SDKをWebサイトで提供しているという。
