マイクロソフトは3日、Officeに未修正の脆弱性があるとしてアドバイザリを公開した。対象となるのは、Office 2000/XP/2003/2004 for MACで、セキュリティーベンダーの米マカフィーは完全にパッチを当てている場合も影響を受けるとしている。現在、同脆弱性を悪用する攻撃が確認されているのはExcelのみだが、他のOfficeアプリケーションも攻撃を受ける可能性がある。
同脆弱性は、不正な形式の文字列を使って細工したOfficeファイルを表示すると、メモリー破損が起きるもの。悪用されると任意のコードが実行されるおそれがある。マカフィーによると、細工されたExcelファイルを開くと、内部に埋め込まれたプログラムが投下・実行される。
マイクロソフトは、現在セキュリティ更新プログラムを開発中としている。また、不正なファイルを開かなければ攻撃を受けることはないとして、信頼できないOfficeファイルは開かないよう、呼びかけている。
(2007/02/05 ネットセキュリティニュース)
■マイクロソフト セキュリティ アドバイザリ (932553)Microsoft Office の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/932553.mspx
■Microsoft Security Advisory 932553 Posted[英文](Microsoft Security Response Center Blog!)
http://blogs.technet.com/msrc/archive/2007/02/02/microsoft-security-advisory-932553-posted.aspx
■Microsoft Office Document Handling Client-Side Command Execution Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/0463
■Zero-Day Excels Over Word[英文](McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/?p=191
■Exploit-MSExcel.h(マカフィー)
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSExcel.h