MS「Office」に脆弱性 更新プログラム適用を

MSオフィスに脆弱性

マイクロソフトのすべてのオフィス製品で、「OLE2Linkオブジェクト」と呼ばれる処理に脆弱性があることが分かった。第三者によって細工されたオフィス・ファイルがメールなどに添付で送付され、これをユーザーが開くとリンク先にある任意のプログラムが実行される恐れがあるという。日本の情報セキュリティ対策に取り組むJPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同で運営するJVN(Japan Vulnerability Notes)で、11日に発表された。

OLE2Linkオブジェクトの処理では、遠隔のサーバーに置かれたファイルが、サーバー側で関連付けられたMIMEタイプに従って処理される。MIMEタイプの中には、任意のプログラムを実行できる危険なものも含まれている。すでに、ワードのDOC形式に偽装されたRTF(リッチテキスト)形式の文書ファイルをユーザーが開くと、遠隔のサーバーに接続してHTMLアプリケーションであるHTAファイルを取得し、その中に含まれるVBスクリプトがユーザーの端末上で実行されてしまう、という攻撃が報告されている。この攻撃は、ワード以外のウィンドウズ・コンポーネントを標的としても行われる可能性がある。

マイクロソフトは毎月第二火曜日(日本では水曜日)に、同社の製品のセキュリティの問題などを修正するプログラムを提供している。12日に公開された4月の月例セキュリティ更新プログラムに、この脆弱性に対する修正(KB3141529、KB3141538、KB3178703、KB3178710)も含まれていた。

この更新プログラムを適用するまでの暫定対応として「保護ビュー」の活用が挙げられる。最近のオフィス製品は、インターネット上から取得した安全でない可能性のある文書ファイルを、読み取り専用の保護ビューで開く。内容を読むだけであれば、安易に保護ビューを解除しないことが推奨される。

(写真はイメージ)

 
Facebook Like!


The following two tabs change content below.

天本 レオ

航空宇宙工学科卒業。サイエンスライターとして、宇宙をはじめとした科学全般の話題から、読者の「!」な記事を提供していきたいと思っています。

ピックアップ記事

  1. 睡眠中にSTPDケア トラウマ記憶が音で減弱することをマウスで確認
    筑波大学と英オックスフォード大学の共同研究グループは、マウスを使った実験で、睡眠中にトラウマ(心的外…
  2. トヨタ、リハビリ支援ロボットを製品化
    トヨタ自動車は12日、脳卒中などによる下肢麻痺のリハビリテーション支援を目的としたロボット「ウェルウ…
  3. 国立公園と生物多様性について考える 5月13日にシンポジウム開催
    環境省は5月13日、「生物多様性と持続可能な観光シンポジウム~国立公園のインタープリテーションを考え…

アーカイブ

2017年4月
« 3月    
 1
2345678
9101112131415
16171819202122
23242526272829
30  

Follow me!

FacebookいいねやTwitterフォローで、更新情報を受け取れます!

 


ページ上部へ戻る