| エンタープライズ:ニュース | 2003/09/04 09:19:00 更新 |
Office製品を中心に5種類のアドバイザリ、今度はOffice Updateを
Office関連製品を中心に、複数のセキュリティホールに関するアドバイザリが公開された。Windows Updateだけに頼れない点に注意が必要だ。
マイクロソフトは9月4日、Office関連製品群に存在するセキュリティホールをはじめ、5種類の脆弱性について警告し、パッチを公開した。
このうちOffice製品に関連するパッチは、Windows OSやInternet Explorer関連のそれとは異なり、Windows Updateで適用することはできない。アドバイザリのWebサイトからパッチを直接ダウンロードするか、Office Updateを利用する必要がある点に注意が必要だ。
中でも最も深刻なのは、Visual Basic for Applications(VBA)に存在しているセキュリティホール(MS03-037)だ(日本語要約情報、英文詳細情報、別記事参照)。
問題を発見した米eEye Digital Securityのアドバイザリによると、多くのOffice製品で利用されているVBE.DLLおよびVBE6.DLLに、ヒープオーバーフローの脆弱性が存在する。もし、このセキュリティホールが残ったままのマシンで、細工が施されたOfficeドキュメントを開いてしまうと、攻撃者に任意のコードを実行されてしまうおそれがある。
問題の原因となっているVBE.DLLおよびVBE6.DLLは、Microsoft Visual Basic for Applications SDKのみならず、Word、Excel、PowerPoint、Access、Visioなど、Office製品のほぼすべてに利用されており、影響の及ぶ範囲は非常に広い。eEyeはさらに、ヘルパーアプリケーション機能によって、これらOffice関連ファイルがInternet Explorer上で自動的に実行されてしまう点にも注意が必要だと指摘している。
その他の問題は、以下の通りだ。影響が及ぶ製品が非常に多岐にわたっているため、入念なチェックが必要になる。
MS03-034(イラストによる情報)
Windows NT Server 4.0/Windows 2000/Windows XP/Windows Server 2003に影響がある。これらOSがNetBT(NetBIOS over TCP)で利用しているネームサービス(NBNS)に問題があり、条件がそろうと、NBNSクエリへの応答として、当該PCのシステムメモリの中からランダムなデータが送り出されてしまう。これが情報漏えいにつながるおそれがある。ただ、コード実行などのおそれはないといい、マイクロソフトではこの問題を、深刻度としては最も軽い「注意」と位置づけている。
- 英文詳細情報
- 日本語要約情報
- Foundstone Advisory:Microsoft Windows NetBIOS Name Service Query Reply Information Disclosure(MS03-034)
MS03-035(イラストによる情報)
Microsoft Word 97/98/2000/2002の各バージョンと英語版Microsoft Works Suiteに影響がある。攻撃者が作成した悪意あるドキュメントにより、セキュリティモデルが回避され、マクロが自動的に実行されてしまうおそれがある。この問題は、単体でももちろん問題だが、マクロの自動実行をきっかけとして更なる攻撃やウイルスの感染などに悪用されるおそれがあり、マイクロソフトでは深刻なほうから数えて2番目の「重要」な問題と位置づけている。
MS03-036(イラストによる情報)
影響が及ぶ製品は幅広い。Office 97/Office 2000/Office XPのほか、日本語版Word 98、FrontPage 2000/2002、Publisher 2000/2002、英語版Microsoft Works Suiteに問題が存在する。
この問題の原因は、Officeドキュメントとサードパーティ製アプリケーションのドキュメントとを変換する「Microsoft Office Converter Pack」のうち、Corel WordPerfect形式に対応する「WordPerfect document converter」に、バッファオーバーフローの脆弱性が存在すること。これを悪用されると、細工を施したWord形式のファイル(.docファイル)を開いた際に、任意のコードを実行されてしまう可能性がある。MS03-037同様、ヘルパーアプリケーション機能を通じて、Internet Explorer上で悪用されるおそれもあるのだが、マイクロソフトによる格付けは「重要」だ。
- 英文詳細情報
- 日本語要約情報
- eEye Digital Security Advisory:Microsoft WordPerfect Document Converter Buffer Overflow
MS03-038(イラストによる情報)
Access 97/2000/2002に影響がある。Accessデータベースのスナップショットを配布するのに利用される「Microsoft Access Snapshot Viewer」に脆弱性が存在し、対象となるPCにそのときログインしているユーザーの権限で、攻撃者が選んだコードが実行されてしまうおそれがある。ただしSnapshot Viewerは、Officeのインストール時にデフォルトでインストールされるわけではないこともあって、深刻度は「警告」にとどまっている。
関連リンク
Office Updateマイクロソフト TechNet Online[高橋睦美,ITmedia]
