MS、Excelの脆弱性にパッチ

Microsoftは3月の月例パッチでExcelのコード実行脆弱性や、システムの乗っ取りを許すOfficeの脆弱性のフィックスをリリースした。

[Ryan Naraine，eWEEK]

　MicrosoftのExcelプログラムの複数のセキュリティホールにより、ユーザーがPCを乗っ取られる恐れがある。同社が3月14日に公開したアドバイザリーで警告した。

　月例パッチの一環として、同社はExcelの5件のコード実行脆弱性および脆弱なシステムの「完全な乗っ取り」を許すOfficeの脆弱性1件のパッチをリリースした（3月15日の記事参照）。

　「critical（緊急）」と評価されたこれらMS06-012の脆弱性は、Office 2000、Office XP、Office 2003、Works Suites、Office X for Mac、Office 2004 for Macのユーザーに影響する。

　Microsoftによると、攻撃者はExcelの脆弱性を、不正な形式のレンジや構文解析フォーマットファイル、記述、グラフィックス、レコードを使って攻撃できるという。

　またOfficeの脆弱性は、Office内で特殊な細工をしたルーティングスリップを使って悪用できる。これら脆弱性を突くには、ユーザーをだまして不正なWebサイトにアクセスさせたり、文書を開かせる必要がある。

　MicrosoftはまたMS06-011を公開し、プリンストン大学の研究者2人が最初に発見したこの権限昇格の脆弱性を修正する包括的なフィックスをリリースした。

　「important（重要）」と評価されているこの脆弱性は、攻撃者がWindows上で動作するサードパーティーのアプリケーションの権限昇格の脆弱性を簡単に特定できるというもの。

　この脆弱性のパッチがリリースされる1カ月前には、Windowsアプリケーションで使われているACL（アクセスコントロールリスト）の悪用方法を説明した脆弱性実証コードが公開されている。

　この実証コードを利用すると、制限の甘いサードパーティーのアプリケーションサービスのアクセス制御を悪用できる。このコードはWindows XP SP1とWindows Server 2003のデフォルトサービスを悪用するのにも利用できる。

　ACLは、各ユーザーが特定のシステムオブジェクトに対してどのアクセス権を持っているかをOSに示す表。しかし、ソフトのコーディングがお粗末なために、一部の基本的なWindowsのセキュリティ機構が回避され、攻撃に利用される恐れがあることに研究者らは気付いた。

原文へのリンク