Word 2007に脆弱性は見当たらない――MSが予備調査結果を報告

毎月の定例アップデートの直後にOfficeスイートに関する新たな脆弱性が報告されたが、Microsoftの予備調査によると、これらはユーザーに対する脅威とはならないという。

[Brian Prince，eWEEK]

　Microsoftによると、Office 2007スイートの脆弱性の報告に関して行った予備調査では、ユーザーに対する脅威の証拠は見つからなかったという。

　MS Officeの新たなセキュリティホールの報告は、既知のエクスプロイトサイト上で公開され、そのうちの1つのサイトでは4つのバグに関する情報が掲載された。Microsoftでは、これらの脆弱性に関する具体的な情報をリリースしていないが、ユーザーへの潜在的リスクについては言及している。

　「Microsoftによる当初の調査では、これらの指摘のどれ1つとして、Word 2007あるいはOffice 2007製品の脆弱性を示すものではないことが判明した」と同社の広報担当者は4月11日に語った。「指摘された問題が、Microsoft Officeのほかのバージョンに影響を与える可能性に関する調査は継続中である」（同社）

　報告された脆弱性は、イスラエルを本拠とするOffensive-Security.comのマーティ・アハロニ氏が公表したもの。同氏はWordの脆弱性を探していたわけではなく、Offensive-Security.comで使用する教材を作成していたときに偶然発見したという。

　「幾つかのWindowsファイルフォーマットで文字置換スクリプトを実行したところ、不可解な結果になった。わたしが公表した脆弱性は、見つかったものの中で最も危険性が低いものであり――ほとんどはDoS（サービス妨害）を引き起こしただけである――これらのバグを利用して実際にコードが実行される可能性は極めて低い」と同氏は語る。

　これらのドキュメントのうち2つは、Word 2007が「CPUの消耗」を引き起こす可能性があることを示している。3番目の脆弱性もWord 2007に関係したもので、リモートコード実行を許す可能性があるとしている。第4の脆弱性とされているのがWindowsヘルプファイルの拡張子「.hlp」に関係したもので、ヒープオーバーフロー状態を引き起こす恐れがあるという。

　アハロニ氏によると、これらのバグでWord 2007がクラッシュしたことを確認したというメッセージを複数の人から受け取ったという。同氏はクラッシュやCPUの消耗状態を示すスクリーンショットをブログに掲載し、Microsoftがこういった状態を再現できないというのは理解に苦しむとしている。

　Microsoftでは、必要と判断すれば、セキュリティアドバイザリまたはアップデートを発行する可能性がある、と広報担当者を通じて述べている。

　カリフォルニア州サンタクララに本社を置くMcAfeeの研究者、カーシック・ラマン氏は4月10日付のブログ記事の中で、潜在的脆弱性がエクスプロイトサイトで発表されたタイミングは偶然ではないかもしれないと書いている。

　「パッチ火曜日のころにゼロデイ脆弱性が発表されるのは、これまでも何度かあった。おそらくこれは、来月のパッチ火曜日までこれらの脆弱性を最大限に人々に露出する狙いだろう」とラマン氏は記している。

　サンフランシスコにあるnCircleでセキュリティオペレーションを担当するディレクター、アンドリュー・ストームズ氏によると、責任ある開示という問題は、セキュリティ分野で果てしない論争となっているという（関連記事）。同氏は、脆弱性を最初にベンダーに報告し、それを修正するチャンスをベンダーに与えるという定義での責任ある開示を支持している。

　「結局のところ、問題は、ベンダーへの責任ある開示がより良い製品の提供につながるのか、また、欠陥を素早く修正するようベンダーに迫るものなのか、ということだ」とストームズ氏は語る。

　アハロニ氏は、正式な開示プロセスには我慢できないという。以前にそれで失望した経験があるからだ。

　「Microsoftはこの数年でセキュリティの分野で大きく前進し、その点については評価したい。しかしMicrosoftの顧客という立場から言えば、もっと迅速にバグを修正してもらいたい」と同氏は話す。

原文へのリンク