「Excelで3番目の脆弱性」情報にMicrosoftが反論

[ITmedia]

　米MicrosoftはExcel関連の未パッチの脆弱性が相次いで報告されていることについて、それぞれの影響と同社の対応について、セキュリティ対策センターのブログで解説した。

　Excelに関して同社は現在3件の問題について調査に当たっている。このうちExcel自体の脆弱性については19日にアドバイザリーを公開し、回避策を紹介。7月11日の月例アップデートまでに対処する方針だ。

　2つ目の問題は、WindowsコンポーネントのHlink.dllに脆弱性が存在するというもので、Microsoftは20日のブログでこれについて説明。パッチは現在テスト中で、回避策も調査中だという。

　3番目の問題は、20日にセキュリティ企業が情報を公開した。Microsoftによれば、これはActiveXコントロールをOffice文書内部でロードさせるやり方に関するもので、例として公開されている情報がExcel文書関連だったため、先の2件の脆弱性と混同されてしまうかもしれないが、この動作は設計によるもので、これ自体はセキュリティを脅かすものではないとしている。

　ただ、攻撃者がこの機能を利用すると、Office文書を通じてユーザーのシステム上にある脆弱性のあるActiveXコントロールを自動的にロードすることができてしまうという。

　「これは脆弱性ではない」とMicrosoftは強調し、最近のバージョンのOfficeでは、Microsoft Security Bulletinを通じてキルビットを受信すると、脆弱性のあるActiveXコントロールのロードを防ぐ機能をサポートしていると説明。

　このやり方でリモートからのコード実行が可能になるActiveXコントロールや、この方法を使った攻撃の情報は入っておらず、現時点で顧客が影響を受けたという報告もないという。Microsoftでは引き続き調査を行い、必要に応じて追加情報を提供する方針だとしている。