デンマークSecuniaなどは現地時間10月8日,Microsoft Wordに危険なセキュリティ・ホールが見つかったことを明らかにした。細工が施された文書ファイル(.doc)を開くと,任意のプログラムを実行させられる恐れがある。影響を受けることが確認されているのは,Word 2002(Office XPに含まれる)およびWord 2000(Office 2000に含まれる)。パッチは未公開。対策は,信頼できないファイルは開かないことなど。Internet Explorer(IE)のセキュリティ設定を高めておくことも対策の一つ。

 セキュリティ・ホールを発見したのは「HexView」というグループ。10月7日にセキュリティ関連のメーリング・リストに投稿した。同投稿によると,Wordには2種類のセキュリティ・ホールがあるという。いずれも,Wordが文書ファイルを読み込んで処理する際に,入力チェックを適切に行わないというもの。このうち1種類のセキュリティ・ホールを突かれると,文書ファイルに仕込んだ任意のプログラムを実行させられる恐れがあるという。

 Secuniaでは,細工を施した文書ファイルを読む込むと,Wordがハングアップする(Wordのプロセスがクラッシュする)ことは確認したという。任意のプログラムを実行させられるかどうかは未確認だが,セキュリティ・ホールの性質上,可能であろうとしている。

 米Microsoftは,このセキュリティ・ホールに関する情報やパッチを公開していない。現時点での対策は,とにかく信頼できない文書ファイルを開かないこと。これは,今回のセキュリティ・ホール対策に限らず,セキュリティのセオリーである。

 また,IEを使っている場合には,Webページを閲覧しただけで,悪質な文書ファイルがWordに読み込まれる可能性がある。これを避けるために,Secuniaでは,IEのセキュリティ設定を「高」にする,あるいは「ファイルのダウンロード」を無効にすることを対策の一つとして挙げている。

 米SANS Insituteでは,これらに加えて,「Wordを使わず,別製品(例えば,OpenOffice.org)を使う」なども対策として挙げている。

◎参考資料
Microsoft Word Document Parsing Buffer Overflow Vulnerability(Secunia)
MS Office buffer overflow vuln, still more botnets, and don't be a baddie, be a goodie!(SANS Insitute)

(勝村 幸博=IT Pro)