マイクロソフトは1月7日,Microsoft Word 97/98用のセキュリティ・パッチを公開した。セキュリティ・ホール自体は2002年10月17日に公開されており,Word 97/98以外のパッチは既に提供されていた。セキュリティ・ホールの最大深刻度は「中」であるが,パソコン内のファイルを盗まれる恐れがあるセキュリティ・ホールなので,Word 97/98ユーザーはパッチを適用しておきたい。
今回公開されたパッチは,既に公開されている「Word フィールドおよび Excel の外部データ更新の問題により,情報が漏えいされる (Q330008)」(MS02-059)のセキュリティ・ホールを解消するものである(関連記事)。このセキュリティ・ホールは,Wordが備えるフィールド機能およびExcelが備える外部データ更新機能に関するものである。
これを悪用すれば,ユーザーに気付かれずに,パソコン内の別の文書ファイルの内容を,攻撃者が送った文書ファイルに挿入させることが可能になる。ユーザーにその文書ファイルを攻撃者へ送り返させれば,攻撃者はパソコン内の重要な情報を入手できることになる。
対策はパッチを適用すること。マイクロソフトはセキュリティ・ホールの公開と同時に Word 2000/2002用やExcel 2002用などのパッチを公開したが,Word 97/98用のパッチは未公開だった。それが今回,やっと公開された。
ただし,パッチをダウンロードするには,マイクロソフトへメールを送り,ダウンロード・ページのURLを入手する必要がある。URLの入手方法については,「[WD97] Word 97 に存在する MS02-059 のセキュリティ問題」のページに詳しい。
従来のパッチとは異なり,直接ダウンロードさせないようにした理由は,「対象ユーザー(Word 97/98 ユーザー)以外が誤って適用しないようにするため」(マイクロソフト)としている。今回のパッチはセキュリティ・ホールの性質上,対象ユーザー以外が適用すると,不具合が発生する恐れがあるという。このため,「メールによる依頼」という“ワン・クッション”をおくことで,対象ユーザー以外が適用してしまうことを防いでいる。
なお,「[WD97] Word 97 に存在する MS02-059 のセキュリティ問題」ページの「重要」欄によると,Word 97用のパッチを適用する前には,「Word 97 Service Release 2 (SR-2) 」をインストールしておく必要がある。Word 97 SR-2がインストールされていなくてもパッチを適用できるが,その場合にはサポート対象外になるという。
◎参考文献
◆「Word フィールドおよび Excel の外部データ更新の問題により,情報が漏えいされる (Q330008)」(MS02-059)
◆「[WD97] Word 97 に存在する MS02-059 のセキュリティ問題」
(勝村 幸博=IT Pro)
