ITmedia NEWS > セキュリティ >
ニュース
» 2006年06月27日 08時12分 UPDATE

「Excelで3番目の脆弱性」情報にMicrosoftが反論

「3番目のゼロデイ攻撃」と指摘された問題について、Microsoftは「脆弱性ではない」としながらも、引き続き調査に当たり、必要に応じて追加情報を提供する方針。

[ITmedia]

 米MicrosoftはExcel関連の未パッチの脆弱性が相次いで報告されていることについて、それぞれの影響と同社の対応について、セキュリティ対策センターのブログで解説した。

 Excelに関して同社は現在3件の問題について調査に当たっている。このうちExcel自体の脆弱性については19日にアドバイザリーを公開し、回避策を紹介。7月11日の月例アップデートまでに対処する方針だ。

 2つ目の問題は、WindowsコンポーネントのHlink.dllに脆弱性が存在するというもので、Microsoftは20日のブログでこれについて説明。パッチは現在テスト中で、回避策も調査中だという。

 3番目の問題は、20日にセキュリティ企業が情報を公開した。Microsoftによれば、これはActiveXコントロールをOffice文書内部でロードさせるやり方に関するもので、例として公開されている情報がExcel文書関連だったため、先の2件の脆弱性と混同されてしまうかもしれないが、この動作は設計によるもので、これ自体はセキュリティを脅かすものではないとしている。

 ただ、攻撃者がこの機能を利用すると、Office文書を通じてユーザーのシステム上にある脆弱性のあるActiveXコントロールを自動的にロードすることができてしまうという。

 「これは脆弱性ではない」とMicrosoftは強調し、最近のバージョンのOfficeでは、Microsoft Security Bulletinを通じてキルビットを受信すると、脆弱性のあるActiveXコントロールのロードを防ぐ機能をサポートしていると説明。

 このやり方でリモートからのコード実行が可能になるActiveXコントロールや、この方法を使った攻撃の情報は入っておらず、現時点で顧客が影響を受けたという報告もないという。Microsoftでは引き続き調査を行い、必要に応じて追加情報を提供する方針だとしている。

Copyright © ITmedia, Inc. All Rights Reserved.