マイクロソフトは6月20日,Microsoft Word や 同 Excel に見つかった4種類の新しいセキュリティ・ホールを公開した。Office文書などに仕込まれた,不正なスクリプトやマクロを実行させられる恐れがある。対象となるのは,Windows版のExcel 2000,Excel 2002 および Word 2002。公開されているパッチを適用すれば回避できる。同社によれば,セキュリティ・ホールの最大深刻度は「中」。

 新しく見つかったセキュリティ・ホールは以下の4種類。

(1)インライン・マクロに関するセキュリティ・ホール
(2)リンクからExcelのワークブックを開く際の処理に関するセキュリティ・ホール
(3)XSLスタイル・シートに関するセキュリティ・ホール
(4)Word ファイルが添付されたHTMLメールに関するセキュリティ・ホール

 (1)および(2)はExcelが影響を受ける。ユーザーがワークブック内のリンク(オブジェクト)をクリックすると,マクロのセキュリティ設定を回避して,マクロが実行されてしまう可能性がある。

 (3)もExcelが影響を受けるセキュリティ・ホールである。スクリプトが仕込まれたXSLスタイル・シートを持つExcelシートを開いた場合,スクリプトが「ローカル・コンピュータ・ゾーン」のセキュリティ設定で実行されてしまう。

 ローカル・コンピュータ・ゾーンとは,通常のプログラムが実行されるゾーンであり,「インターネット・ゾーン」などとは異なり,実行時の制限はほとんどない。また,インターネット・ゾーンなどとは異なり,Internet Explorerのセキュリティ設定から変更することはできない。

 (4)はWordに関するセキュリティ・ホール。Microsoft Access をインストールしている環境で,Word文書が添付されたHTMLメールを開くと,Word文書のマクロが自動的に実行される恐れがある。過去に公開された「MS00-071」のセキュリティ・ホールの“変種”である。

 それぞれの深刻度は,(2)が「低」,残りの3種類が「中」である。

 今回公開されたパッチは,これらのセキュリティ・ホールだけではなく,過去のセキュリティ・ホールもふさげる「累積パッチ」である。「Microsoft Excel 2000 for Windows」,「Microsoft Excel 2002 for Windows」および「Microsoft Word 2002 for Windows」用のパッチが公開されている。

 パッチには「クライアント用修正プログラム」と「管理者用修正プログラム」の2種類が用意されている。一般のユーザーはクライアント用修正プログラムを適用すればよい。「Office2000リソースキット」あるいは「OfficeXPリソースキット」をインストールしているユーザーは,管理者用修正プログラムを適用する。

 なお,今回のセキュリティ・ホールは Windows には標準では含まれないアプリケーションに関するものなので,「Windows Update」でパッチを適用することはできない。「MS02-031 に関する情報」からダウンロードして適用するか,「Office製品のアップデート」サイトでアップデートをかける必要がある(ただし,現時点では同サイトに今回のパッチは公開されていない)。

◎参考資料
MS02-031に関する情報(要約情報とパッチ,マイクロソフト)
Cumulative Patches for Excel and Word for Windows (Q324458)(英語情報,米Microsoft)
Excel for Windows および Word for Windows 用の累積的な修正プログラム (Q324458) (MS02-031)(マイクロソフト)

(勝村 幸博=IT Pro)