最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆マイクロソフト、4月度の月例セキュリティパッチを公開(2011/04/13) | メイン | ◆不当表示で措置命令~走行距離を偽った中古車、牛脂注入の霜降ステーキなど(2011/04/15) »

2011/04/14

◆Officeの「ファイル検証機能」~2007/2003でも利用可、アドバイザリ公開(2011/04/14)

 マイクロソフトは13日、これまで Office2010のみで利用可能だった「Officeファイル検証機能」が、Office2007/2003でも利用できるようになったと発表し、セキュリティアドバイザリを公開した。

 これは、不正な形式のデータが含まれている可能性のある Officeファイルについて、開く前にスキャンと検証を行うための仕組み。ファイルに問題があって検証をパスできなかった場合は、ファイルがブロックされて、警告メッセージが表示される。

 この機能は、Excel、Wordなど Officeプログラムの脆弱性を悪用する攻撃を防ぐのに役立つ。脆弱性を悪用する Officeファイルをメールに添付して送りつけたり、サイト上で公開したりして、ユーザーに開かせようとする攻撃が多数行われているが、この検証機能により、そうした悪質な Officeファイルをブロックすることができるためだ。

 この検証機能はバイナリ形式のファイルを対象としている。具体的には以下の通り。
・拡張子が.xls、.xltのファイル(Excelのファイル)
・拡張子が.doc、.dotのファイル(ワードのファイル)
・拡張子が.ppt、.pps、.potのファイル(PowerPointのファイル)

 Office2007からは標準のファイルフォーマットがXMLベース(.xlsx、.docx、.pptxなど)となっているが、これらのファイルは検証の対象としていない。XMLベースのファイルは仕組み上、バイナリファイルに比べ、上記のような攻撃に利用しにくい。

 ファイルが検証をパスできなかった場合、規定では、警告メッセージが表示され、ファイルを開くか開かないかを自分で選べるようになっている。パスしなかったファイルを完全にブロックして開けないようにすることも可能で、設定を変更するための Fix itが用意されている。このFix itは「サポート技術情報 2501584」の下部にある。

 Office2007/2003でファイル検証機能を利用するためには、マイクロソフトアップデートを実行して Officeプログラムを最新の状態にした上で、以下の2種類のプログラムをパソコンにダウンロードしてインストールする必要がある。
(1)Officeファイル検証機能アドイン
(2)Word2007用、Word2003用など、製品ごとに用意されている更新プログラム

 しかし実際には、(1)のアドインおよび、(2)のExcel2007/2003用、PowerPoint2007/2003用のプログラムは、13日に公開された4月度のセキュリティ更新プログラムの中に含まれている。このため、13日以降にマイクロソフトアップデートを実行した場合は、Excel2007/2003とPowerPoint2007/2003で、検証機能がすでに有効となっている。

 Word2007/2003と、Publisher2007/2003用の更新プログラムは、数か月中にマイクロソフトアップデートを通じて配布される予定。すぐに利用したい場合は、下記ページからダウンロードすることができる。

 なおファイル検証機能には以下の問題が見つかっており、マイクロソフトでは、これらについて調査中だという。
・Office2003のファイル検証機能では、Excel2.0/3.0/4.0で作成されたファイルは検証をパスできない。Solver.xla(Excel用のソルバーアドイン)も検証をパスできない。
・Office2003のドキュメントに大量の図やデータを貼り付ける際、貼りつけが完了するまでに時間がかかることがある。
・Office2003では、大量の図やデータを含むファイルを共有ネットワークから開く際に、時間がかかることがある。

(2011/04/14 ネットセキュリティニュース)

【関連URL:マイクロソフト】
・セキュリティアドバイザリ 2501584
http://www.microsoft.com/japan/technet/security/advisory/2501584.mspx
・サポート技術情報 2501584[英文]
http://support.microsoft.com/kb/2501584/ja
・Office File Validation for Office 2003 and Office 2007[英文]
http://technet.microsoft.com/ja-jp/library/gg985445%28en-us,office.12%29.aspx

■Word用/Publisher用更新プログラムのダウンロードページ
・Microsoft Office Word 2007セキュリティ更新プログラム:KB2464605
http://www.microsoft.com/downloads/details.aspx?FamilyID=6bc72668-6ff8-41c8-9475-f5418b620c01&displayLang=ja
・Microsoft Office Word 2003セキュリティ更新プログラム:KB2464603
http://www.microsoft.com/downloads/details.aspx?FamilyID=73e38bb3-1ee7-4b01-a523-c23a68eb024a&displayLang=ja
・Microsoft Office Publisher 2007セキュリティ更新プログラム:KB2464599
http://www.microsoft.com/downloads/details.aspx?FamilyID=2d86de98-cb54-4cb4-89f3-5639e427f38c&displayLang=ja
・Microsoft Office Publisher 2003セキュリティ更新プログラム:KB2464598
http://www.microsoft.com/downloads/details.aspx?FamilyID=99d94db4-f74f-4675-af7f-3d42c4163022&displayLang=ja

投稿情報: 09:24 |

|