2004年10月08日(金) 10時27分
MS Officeの旧バージョンに欠陥--DoS攻撃に悪用される危険性(CNET Japan)
米国時間7日にあるセキュリティ対策会社が、Microsoft Officeの旧バージョンのなかに見つかった欠陥により、これらの製品が動作するシステム上からDoS(サービス拒否)攻撃を仕掛けられてしまう可能性があるとの警告を発した。
セキュリティベンダーのSecuniaは、Office 2000でバッファオーバーランの欠陥が発見されたとの
勧告 を同社のウェブサイトに掲載した。この欠陥はOffice XPにも存在する可能性があり、ハッカーがこれを利用してユーザーのシステムをコントロールできるようになってしまうという。同社ではこの欠陥の深刻度を「極めて高い」に分類している。
同社では、この脆弱性について、Microsoft Wordが文書ファイルをパースするときの入力処理にあるエラーが原因だとしている。同社は、特別に作成した文書を使ってこの欠陥を悪用される可能性があると述べ、修正方法が見つかるまでは、Wordのドキュメントは信頼できるものしか開かないように注意を促している。
Microsoftはこの問題を調査中だと語ったが、それと同時に、公表前にMicrosoftに通知しなかったとしてバグの発見者を非難した。Secuniaではこの人物を「HexView」という名前でしか明らかにしていない。
Microsoftの関係者は、「現時点では、報告された脆弱性が悪用されたり、顧客への影響が出たという話は聞いていないが、我々はこの報告の調査を積極的に進めている」と電子メールに記している。また同社では、一般への公表前にこの欠陥について知らされなかったことを懸念していると語った。
「今回Wordのなかに見つかった脆弱性の報告が責任ある形で公表されず、コンピュータユーザーが危険にさらされてしまったことに対して、Microsoftでは懸念を抱いている」とこの関係者は述べ、さらに「脆弱性はベンダーに直接通知するという一般に認知された方法を用いることが全員の利益につながると我々は考えている。こうすることで、パッチの開発中に悪意を持つ攻撃者からの危険にさらされることなく、セキュリティの脆弱性に対する総合的で品質の高いアップデートを確実に受けられるようになる」と付け加えた。
なお、セキュリティ関連コミュニティの中には、Microsoftがパッチの開発に時間をかけすぎだとする批判の声もある。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
海外CNET Networksの記事へ
関連記事
JPEGファイルがトロイの木馬に--Windowsソフトの欠陥を悪用する画像発見 - 2004/09/29 08:41
米ソフトメーカー、MS Officeメタデータの危険性を警告 - 2004/08/24 20:28
「セキュリティ対策は、人・プロセス・テクノロジの連携が必要」とマイクロソフト - 2004/02/25 21:23
批判を浴びるMicrosoft Wordのパスワード保護機能 - 2004/01/08 17:54
■CNET Japanニューズレター(無料)
毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。
[CNET Japan]
http://japan.cnet.com/ (CNET Japan) - 10月8日10時27分更新
http://headlines.yahoo.co.jp/hl?a=20041008-00000002-cnet-sci