• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

マイクロソフトがWord 97/98用パッチを公開,情報漏えいのセキュリティ・ホールをふさぐ

勝村幸博 2003/01/07 ITpro

 マイクロソフトは1月7日,Microsoft Word 97/98用のセキュリティ・パッチを公開した。セキュリティ・ホール自体は2002年10月17日に公開されており,Word 97/98以外のパッチは既に提供されていた。セキュリティ・ホールの最大深刻度は「中」であるが,パソコン内のファイルを盗まれる恐れがあるセキュリティ・ホールなので,Word 97/98ユーザーはパッチを適用しておきたい。

 今回公開されたパッチは,既に公開されている「Word フィールドおよび Excel の外部データ更新の問題により,情報が漏えいされる (Q330008)」(MS02-059)のセキュリティ・ホールを解消するものである(関連記事)。このセキュリティ・ホールは,Wordが備えるフィールド機能およびExcelが備える外部データ更新機能に関するものである。

 これを悪用すれば,ユーザーに気付かれずに,パソコン内の別の文書ファイルの内容を,攻撃者が送った文書ファイルに挿入させることが可能になる。ユーザーにその文書ファイルを攻撃者へ送り返させれば,攻撃者はパソコン内の重要な情報を入手できることになる。

 対策はパッチを適用すること。マイクロソフトはセキュリティ・ホールの公開と同時に Word 2000/2002用やExcel 2002用などのパッチを公開したが,Word 97/98用のパッチは未公開だった。それが今回,やっと公開された。

 ただし,パッチをダウンロードするには,マイクロソフトへメールを送り,ダウンロード・ページのURLを入手する必要がある。URLの入手方法については,「[WD97] Word 97 に存在する MS02-059 のセキュリティ問題」のページに詳しい。

 従来のパッチとは異なり,直接ダウンロードさせないようにした理由は,「対象ユーザー(Word 97/98 ユーザー)以外が誤って適用しないようにするため」(マイクロソフト)としている。今回のパッチはセキュリティ・ホールの性質上,対象ユーザー以外が適用すると,不具合が発生する恐れがあるという。このため,「メールによる依頼」という“ワン・クッション”をおくことで,対象ユーザー以外が適用してしまうことを防いでいる。

 なお,「[WD97] Word 97 に存在する MS02-059 のセキュリティ問題」ページの「重要」欄によると,Word 97用のパッチを適用する前には,「Word 97 Service Release 2 (SR-2) 」をインストールしておく必要がある。Word 97 SR-2がインストールされていなくてもパッチを適用できるが,その場合にはサポート対象外になるという。

◎参考文献
「Word フィールドおよび Excel の外部データ更新の問題により,情報が漏えいされる (Q330008)」(MS02-059)
「[WD97] Word 97 に存在する MS02-059 のセキュリティ問題」

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る