マイクロソフトは11月12日,Microsoft Excel とMicrosoft Word に見つかったセキュリティ・ホールを公表した。細工が施された文書ファイルを開くと,悪質なプログラムを実行させられる恐れがある。影響を受けるのは,Excel 97およびWord 97以降。Office Word 2003/Office Excel 2003は影響を受けない。対策はパッチを適用すること。「Office のアップデート」やセキュリティ情報ページから適用できる。
Excelには,文書ファイルに含まれるマクロをチェックする機能にセキュリティ・ホールが見つかった。ファイルに細工が施されていると,マクロのセキュリティ・チェックを回避されてしまう。このため,ユーザーがどのような設定をしていても,警告を出さずに危険なマクロを実行させられる可能性がある。
Wordには,マクロの名前をチェックする機能にバッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,細工が施されたファイルを開くと,仕込まれた任意のプログラムを実行させられる恐れがある。
これらのセキュリティ・ホールを悪用すれば,ファイルを開いたユーザーが許可されているあらゆる操作が可能となる。例えば,任意のファイルの作成や実行,ハード・ディスクのフォーマットなどを行うことができる。
ただし,ユーザーがファイルを開かない限り,被害に遭うことはない。このため,これらのセキュリティ・ホールの深刻度は上からの2番目の「重要」に設定されている。とはいえ,細工が施された文書ファイルを不用意に開いてしまう可能性は高い。ExcelおよびWordユーザーはできるだけ早急にパッチを適用する必要がある。
パッチは「Office のアップデート」にアクセスすれば適用できる。同ページの「アップデートの確認」をクリックすれば,適用すべきパッチやサービスパック,サービスリリースが表示される。例えばWord 2000の場合には,今回のパッチは「Word 2000 セキュリティ アップデート: KB830347」として表示される。パッチは,セキュリティ情報ページからも入手できる。
ただしパッチを適用するには,サービスパックやサービスリリースを事前に適用する必要があるので要注意である。例えば,Word 2000のパッチの場合には,Office 2000 SP3を適用しておく必要があり,Office 2000 SP3を適用するには,Office 2000 SR-1を適用しておく必要がある。また,Office 2000 SR-1を適用するには,Office 2000の製品CD-ROMが必要となる。
◎参考資料
◆Microsoft Word および Microsoft Excel の脆弱性により,任意のコードが実行される (831527) (MS03-050)
◆マイクロソフト セキュリティ情報 (MS03-050) : よく寄せられる質問
◆2003 年 11 月のセキュリティ情報 (Office)
◆Office Online「ダウンロード」(Office のアップデート)
(勝村 幸博=IT Pro)