マイクロソフトは2010年11月10日、「Office」などに関するセキュリティ情報を3件公開した。そのうち1件は最大深刻度(危険度)が最悪の「緊急」、残り2件が上から2番目の「重要」。細工が施されたファイルを開くと、悪質なプログラム(ウイルスなど)を実行される恐れなどがある。対策はセキュリティ更新プログラム(修正パッチ)の適用。
今回公開されたセキュリティ情報のうち、最大深刻度が「緊急」のものは次の1件。
(1)[MS10-087]Microsoft Office の脆弱性により、リモートでコードが実行される (2423930)
このセキュリティ情報には、Officeに関する脆弱(ぜいじゃく)性が5件含まれる。データ処理などに関する脆弱性で、細工が施された文書ファイルを読み込んだり、プレビューしたりするだけで、中に仕込まれたウイルスを勝手に実行される恐れなどがある。
5件中1件の脆弱性については、第三者によって既に公開されている。ただしマイクロソフトによれば、脆弱性を悪用した攻撃は報告されていないという。
影響を受けるのは、Office XP/2003/2007/2010、Office for Mac 2011、Office 2004/2008 for Mac、Open XML File Format Converter for Mac。
最大深刻度が「重要」のセキュリティ情報は以下の2件。
(2)[MS10-088]Microsoft PowerPointの脆弱性により、リモートでコードが実行される (2293386)
(3)[MS10-089]Forefront Unified Access Gateway (UAG) の脆弱性により、特権が昇格される (2316074)
(2)は、PowerPointに関するセキュリティ情報。2件の脆弱性が含まれる。いずれもデータ処理に関する脆弱性。細工が施されたPowerPointファイルを開くと、中に仕込まれたウイルスなどを実行される恐れがある。
影響を受けるのは、PowerPoint 2002/2003、PowerPoint Viewer、Office 2004 for Mac。
(3)は、Forefront Unified Access Gateway 2010(UAG 2010)のセキュリティ情報。UAGは、SSL VPNなどを実現するためのサーバーソフト。今回、UAGに含まれるWebページ(Webアプリケーション)に、クロスサイトスクリプティングの脆弱性などが見つかった。
このため、攻撃者のWebサイトなどに張られたリンクをクリックすると、悪質なスクリプトを実行される危険性などがある。
対策は修正パッチを適用すること。「Microsoft Update」から適用可能で、自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からも修正パッチをダウンロードできる。
ただし、(1)のOffice for Mac 2011向け修正パッチと、(3)のUAG向け修正パッチについてはWebサイトからのみ入手可能。また、(1)におけるOffice 2004/2008 for MacおよびOpen XML File Format Converter for Mac向けの修正パッチ、(2)におけるOffice 2004 for Macの修正パッチは現在開発中で未公開。これらの修正パッチについては、テストが完了次第、公開するとしている。
なお、Windowsの初期設定では、Microsoft Updateは有効になっていないので要注意。自動更新機能を有効にしていても、Microsoft Updateを有効にしておかないと、Office関連の修正パッチは自動的に適用されない。
Windows XPでは、「スタートメニュー」→「すべてのプログラム」→「Windows Update」などからWindows Updateサイトにアクセスして、Microsoft Updateに必要なプログラムをインストールする。
Windows 7では、「スタートメニュー」などから「Windows Update」を選択。Windows Updateの画面に表示される「その他のマイクロソフト製品の更新プログラムを入手します」の「詳細情報の表示」をクリックすると、Microsoft Updateに必要なプログラムをインストールするためのWebサイトが表示される。
また、Office 2007/2010では、インストール時などにMicrosoft Updateを有効にするかどうかを尋ねるダイアログが表示される。その際、「はい」などをクリックしていれば、Microsoft Updateは有効になっている。
ちなみに、Internet Explorerには新しい脆弱性が11月4日に報告されているが、今回の定例公開日(米国時間第2火曜日)には、修正パッチは公開されなかった。
同社では「定例公開日以外に“緊急リリース”する予定はない」(セキュリティレスポンスチーム セキュリティスペシャリストの松田英也氏)としているので、現時点では、同パッチの公開は12月の定例公開日(日本時間12月15日)以降になるもよう。ただし状況が変われば、緊急リリースする可能性はあるとしている。
