Excel、今度は「ハイパーリンク」で未パッチの脆弱性

Excelのハイパーリンク処理に関連した新たな脆弱性が報告された。Secuniaでは「極めて深刻」と評価している。

[ITmedia]

　MicrosoftのExcelで、また新たな未パッチの脆弱性が報告された。悪用されると任意のコードを実行されてシステムを制御される恐れがあるとして、セキュリティ企業のSecuniaでは「極めて深刻」と評価している。

　Secuniaのアドバイザリーによれば、今回の脆弱性はExcel文書などのハイパーリンク処理に存在するhlink.dllの境界エラーが原因で発生する。これを悪用すると悪質なExcel文書で細工を施したハイパーリンクを作成してユーザーにクリックさせ、スタックベースのバッファオーバーフローを誘発することができてしまう。

　脆弱性は完全にパッチを当てたExcel 2003 SP2で確認され、Officeのほかのバージョンも影響を受ける可能性があるという。

　Secuniaでは今のところ、この脆弱性が実際に悪用された事例や実証コードが公開されたとの情報は得ていないが、この脆弱性は簡単に悪用できるものであることから、実証コードがすぐにも公開される可能性が高いと指摘。信頼できないOffice文書を開いたり、リンクをクリックしないよう呼び掛けている。

　Excelをめぐっては16日にも別のゼロデイ攻撃が報告され、Microsoftが19日にサイトで回避策を紹介したばかりだった。