マイクロソフトは9月15日,同社のOffice 2000/XP/2003にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWordPerfect 5.x形式の文書ファイルを開くと,バッファ・オーバーフローが発生する。その結果,任意のプログラムを実行させられる危険性がある。セキュリティ・ホールの深刻度は上から2番目の「重要」。対策はパッチを適用すること。「Office のアップデート」から適用できる。Office 2003 Service Pack 1は影響を受けない。
今回のセキュリティ・ホールは,Officeに含まれる「WordPerfect 5.x コンバータ」に見つかった。WordPerfect 5.x コンバータとは,カナダCorelのワープロ・ソフト「WordPerfect 5.x」で作成した文書ファイルを,Office形式ファイルに変換するためのコンポーネント。WordPerfect 5.x コンバータはデフォルトでインストールされるので,Officeをインストールしている環境では,WordPerfect 5.x形式ファイルを開くと(ダブル・クリックすると),そのファイルはWordPerfect 5.x コンバータに読み込まれる。
このコンバータに,バッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,細工が施されたWordPerfect 5.x形式ファイルを読み込むと,任意のプログラムを実行させられる可能性がある。
対策はパッチを適用すること。「Office のアップデート」やセキュリティ情報のページからダウンロードできる(「Officeのアップデート」の使い方は,「Office アップデートを行う」を参照)。
また,WordPerfect 5.x コンバータをアンインストールすることでも,セキュリティ・ホールの影響を回避できる。コントロールパネルの「プログラムの追加と削除」からアンインストールできる(詳細は,セキュリティ情報の「『WordPerfect コンバータの脆弱性』の回避策」を参照のこと)。
細工が施されたWordPerfect 5.x形式ファイルは,Webページに置かれていたり,メールに添付されて送られてきたりする場合があるので要注意。ただし,Webページやメールを開いただけで攻撃を受けることはない。Webページに置かれている場合には,開かれる前にダイアログが表示される。メールに添付されている場合にも,ユーザーが明示的に開かない限り,ファイルはコンバータに読み込まれない。WordPerfect 5.x形式ファイルに限らず,配布元が信頼できないファイルを開かないことはセキュリティのセオリーである。
◎参考資料
◆WordPerfect コンバータの脆弱性により、コードが実行される (884933) (MS04-027)
◆マイクロソフト セキュリティ情報 (MS04-027) : よく寄せられる質問
(勝村 幸博=IT Pro)
