MS「Office」に脆弱性 更新プログラム適用を

MSオフィスに脆弱性

マイクロソフトのすべてのオフィス製品で、「OLE2Linkオブジェクト」と呼ばれる処理に脆弱性があることが分かった。第三者によって細工されたオフィス・ファイルがメールなどに添付で送付され、これをユーザーが開くとリンク先にある任意のプログラムが実行される恐れがあるという。日本の情報セキュリティ対策に取り組むJPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同で運営するJVN(Japan Vulnerability Notes)で、11日に発表された。

OLE2Linkオブジェクトの処理では、遠隔のサーバーに置かれたファイルが、サーバー側で関連付けられたMIMEタイプに従って処理される。MIMEタイプの中には、任意のプログラムを実行できる危険なものも含まれている。すでに、ワードのDOC形式に偽装されたRTF(リッチテキスト)形式の文書ファイルをユーザーが開くと、遠隔のサーバーに接続してHTMLアプリケーションであるHTAファイルを取得し、その中に含まれるVBスクリプトがユーザーの端末上で実行されてしまう、という攻撃が報告されている。この攻撃は、ワード以外のウィンドウズ・コンポーネントを標的としても行われる可能性がある。

マイクロソフトは毎月第二火曜日(日本では水曜日)に、同社の製品のセキュリティの問題などを修正するプログラムを提供している。12日に公開された4月の月例セキュリティ更新プログラムに、この脆弱性に対する修正(KB3141529、KB3141538、KB3178703、KB3178710)も含まれていた。

この更新プログラムを適用するまでの暫定対応として「保護ビュー」の活用が挙げられる。最近のオフィス製品は、インターネット上から取得した安全でない可能性のある文書ファイルを、読み取り専用の保護ビューで開く。内容を読むだけであれば、安易に保護ビューを解除しないことが推奨される。

(写真はイメージ)

 
Facebook Like!


The following two tabs change content below.

天本 レオ

航空宇宙工学科卒業。サイエンスライターとして、宇宙をはじめとした科学全般の話題から、読者の「!」な記事を提供していきたいと思っています。

ピックアップ記事

  1. 松山駅の改札を出ると、売店では揚げたてのじゃこ天を売っていた。思わずひとつ注文して、ほおばりながら市…
  2. ミュンヘンで初めて中国語が大学入試科目に
    ドイツ・バイエルン州で、アビトゥーア(大学入学資格試験)の選択科目に中国語が導入され、5日にミュンヘ…
  3. こどもの読書週間 番外編
    国際子ども図書館(東京都台東区)では、絵本を通して世界を知る展示会を開催。また、世田谷美術館(同世田…

アーカイブ

2017年5月
« 4月    
 123456
78910111213
14151617181920
21222324252627
28293031  

Follow me!

FacebookいいねやTwitterフォローで、更新情報を受け取れます!

 


ページ上部へ戻る