|
|
Microsoftは1月21日、製品のセキュリティホールを2件報告し、それに対する英語版パッチを公開した。Wordがマクロを無警告で実行してしまいマクロウィルスに使われる可能性があるという問題と、Office 97に含まれるDLLを使ってWebサイトからPCのデータにアクセスできる可能性があるという問題の2点。
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://officeupdate.microsoft.com/downloaddetails/wd97sp.htm
マクロウィルス対策のため、Wordではファイルを開いたときのマクロ実行について警告するようになっている。しかし、テンプレートにマクロが含まれる場合には警告されない場合があるという。Microsoftではパッチを当てることを推奨しているが、英語版のみで、日本語版のパッチは現在のところ用意されていない。
http://www.microsoft.com/security/bulletins/ms99-001.asp
http://officeupdate.microsoft.com/downloaddetails/fm2paste.htm
Office 97やOutlook 98、Visual Basic 5.0、VBA 5.0に含まれるDLL(ActiveXコントロール)「Forms 2.0 ActiveX Control」によるセキュリティホール。Microsoftは、それに対する英語版のパッチを公開した。
Forms 2.0は、カスタムダイアログボックスのためのActiveXコントロール。IEで悪意のあるページにアクセスしたときに、ユーザー側のForms 2.0を通してクリップボードを読み書きできてしまう可能性があるという。
問題のDLLは、「C:\WINDOWS\SYSTEM\FM20.DLL」などとしてインストールされる。このタイムスタンプが1999年1月11日以前なら攻撃を受ける可能性があるため、パッチを当てることが推奨されている。ただし、日本語版のパッチは現在のところ用意されていない。
('99/1/22)
[Reported by ymasa@wizvax.net / masaka@impress.co.jp]