エンタープライズ:ニュース | 2002/08/23 21:10:00 更新 |
「Office」「Money」に重大な脆弱性
マイクロソフト「Office」や「Money」に外部からシステムコマンドを実行できる重大な脆弱性が見つかった。
マイクロソフトは8月22日付けで、Office XPなどに含まれるOffice Web Components(OWC)に、WebサイトやHTML形式の電子メールを介してクラッカーがシステムコマンドを実行できる脆弱性が見つかったと発表した。
修正プログラムは「Office XP」の場合は Service Pack 2に含まれており、適用することで修正できる。それ以外のソフトは修正プログラムを適用する必要がある。
影響を受けるソフトはOffice Web Components 2000/2002。両ソフトは、ユーザーがOfficeを完全にインストールしなくても、WebブラウザでOfficeの一部機能を利用できるようにするもの。
発見された脆弱性は3つ。「Host()」「LoadText()」「Copy()/Paste()」の関数・メソッドに存在するエラーが原因としている。
Host()の脆弱性は、クラッカーがターゲットのPCでOfficeを開き、コマンドを実行できるというもの。LoadText()には、クラッカーにPC上のファイルを読み取られる危険性がある。またCopy()/Paste()は、ユーザーのクリップボードの内容が読み取られるおそれがある。
またOWCは以下のソフトに含まれているため、各ソフトのユーザーも修正プログラムを適用する必要がある。
- Office 2000/XP
- Money 2002/2003
- BackOffice Server 2000
- BizTalk Server 2000/2002
- Commerce Server 2000/2002
- Internet Security and Acceleration Server 2000
- Project 2002/Project Server 2002
- Small Business Server 2000
修正プログラムは同社サイトで配布されているほか、Office XP SP2にも含まれている。
関連リンクマイクロソフト「Office Web Components に安全でない機能が含まれる (Q328130) (MS02-044)」
[ITmedia]