米MicrosoftはExcel関連の未パッチの脆弱性が相次いで報告されていることについて、それぞれの影響と同社の対応について、セキュリティ対策センターのブログで解説した。
Excelに関して同社は現在3件の問題について調査に当たっている。このうちExcel自体の脆弱性については19日にアドバイザリーを公開し、回避策を紹介。7月11日の月例アップデートまでに対処する方針だ。
2つ目の問題は、WindowsコンポーネントのHlink.dllに脆弱性が存在するというもので、Microsoftは20日のブログでこれについて説明。パッチは現在テスト中で、回避策も調査中だという。
3番目の問題は、20日にセキュリティ企業が情報を公開した。Microsoftによれば、これはActiveXコントロールをOffice文書内部でロードさせるやり方に関するもので、例として公開されている情報がExcel文書関連だったため、先の2件の脆弱性と混同されてしまうかもしれないが、この動作は設計によるもので、これ自体はセキュリティを脅かすものではないとしている。
ただ、攻撃者がこの機能を利用すると、Office文書を通じてユーザーのシステム上にある脆弱性のあるActiveXコントロールを自動的にロードすることができてしまうという。
「これは脆弱性ではない」とMicrosoftは強調し、最近のバージョンのOfficeでは、Microsoft Security Bulletinを通じてキルビットを受信すると、脆弱性のあるActiveXコントロールのロードを防ぐ機能をサポートしていると説明。
このやり方でリモートからのコード実行が可能になるActiveXコントロールや、この方法を使った攻撃の情報は入っておらず、現時点で顧客が影響を受けたという報告もないという。Microsoftでは引き続き調査を行い、必要に応じて追加情報を提供する方針だとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR