Excelのハイパーリンク脆弱性、実証コード登場

Microsoftのセキュリティ対策センターは、Excelのハイパーリンクに関する脆弱性の調査を開始、また実証コードが登場したことも明らかにした。

[ITmedia]

　米Microsoftのセキュリティ対策センターは6月20日、Excelの未パッチの脆弱性を認め、この脆弱性を突くと称する実証コードが登場したことを明らかにした。

　この脆弱性はセキュリティ企業Secuniaが報告したもので、ハイパーリンクを処理するhlink.dllに関連している（6月21日の記事参照）。

　同センターは公式ブログの中で、実証コードの報告を受けてすぐに調査を開始したと述べている。このコードはコンセプト実証コードであって攻撃ではなく、同センターとパートナーが調べた限りではこの脆弱性を悪用した攻撃はないと主張している。

　またこれはExcelの脆弱性とされているが、実際にはハイパーリンクを処理するWindowsコンポーネントの脆弱性だという。同センターの調査によると、この脆弱性を悪用するには、不正な細工をしたExcel文書をユーザーに開かせ、特殊な細工を施した文書内のリンクをクリックさせなくてはならない。ユーザーが文書を開いただけでは成功しないと同センターは説明している。

　同センターは、信頼できる相手からのファイルのみを受け取り、アクセスするWebサイトにも気をつけるようアドバイスしている。