Internet Watch logo
記事検索
最新ニュース

「Office」にファイルを開いただけで任意のコードが実行される脆弱性

〜WordやExcel、PowerPointなど複数の製品に存在

OfficeUpdateはWindowsUpdateのように自動で行なわれない場合もあるので、注意が必要
 マイクロソフトは4日、Microsoft Office製品群に4種類の脆弱性「MS03-035〜038」があることを公表した。最も深刻な脆弱性の場合、悪意のあるコードが含まれたOffice文書を閲覧しただけで任意のコードが実行される可能性がある。深刻度は最悪の“緊急”と評価されているため、ユーザーは「OfficeUpdate」を行なう必要がある。

 発見された4種類の脆弱性は、以下の4種類だ。

1:Visual Basic for Applications(VBA)の問題により、任意のコードが実行される脆弱性「MS03-037」
2:WordPerfectコンバータのバッファオーバーランにより、コードが実行される脆弱性「MS03-036」
3:Microsoft Wordの問題により、マクロが自動的に実行される脆弱性「MS03-035」
4:Microsoft Access Snapshot Viewerの未チェックのバッファにより、コードが実行される脆弱性「MS03-038」

 深刻度は、1のMS03-037が“緊急”、2のMS03-036と3のMS03-035が“重要”、4のMS03-038が“警告”とされている。

 1の影響を受けるのはVBA SDK 5.0/6.0/6.2で、これらをはMicrosoft Access/Excel/PowerPoint/Project/Publisher/Visio/Word/Works Suite/Business Solutionsシリーズなど多くの製品に含まれている。

 2の影響を受けるのは、Office 97/2000/XPやWord/FrontPage/Publisher/Works Suiteなど、3の影響を受けるのはWord/Works Suite(英語版)、4の影響を受けるのはAccess 2002/2000/97となっている。

 これらの脆弱性を悪用された場合、悪意のあるコードが含まれたWordやExcelなどのOffice文書ファイルを開いただけで、ハードディスクフォーマットやウイルスプログラムなどのアプリケーションが実行される可能性がある。1の場合はそれ以外に意図しないスクリプトが実行される可能性があるほか、3の場合はWebサイトと通信して情報が漏えいする可能性もある。

 これらの脆弱性を修正するためには、それぞれの製品用に用意された修正パッチを適用すればよい。修正パッチはマイクロソフトのWebサイト上、もしくはOfficeUpdateから入手できる。ただし、OfficeUpdateはWindowsUpdateのように自動で行なわれない場合もあるので、注意が必要だ。


関連情報

URL
  「OfficeUpdate」用のWebサイト
  http://office.microsoft.com/japan/productupdates/
  Visual Basic for Applications(VBA)の問題により、任意のコードが実行される脆弱性「MS03-037」
  http://www.microsoft.com/japan/technet/security/bulletin/MS03-037ov.asp
  WordPerfectコンバータのバッファオーバーランにより、コードが実行される脆弱性「MS03-036」
  http://www.microsoft.com/japan/technet/security/bulletin/MS03-036ov.asp
  Microsoft Wordの問題により、マクロが自動的に実行される脆弱性「MS03-035」
  http://www.microsoft.com/japan/technet/security/bulletin/MS03-035ov.asp
  Microsoft Access Snapshot Viewerの未チェックのバッファにより、コードが実行される脆弱性「MS03-038」
  http://www.microsoft.com/japan/technet/security/bulletin/MS03-038ov.asp


( 大津 心 )
2003/09/04 12:58

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.