［世界］
「Office 2007」に未パッチのさらなる脆弱性

2月の問題が解決されないまま新たな脆弱性が発覚

（2007年04月12日）

　マイクロソフトが、発見されてから2カ月になる「Word 2000/2002」の脆弱性パッチを提供しないまま4月の月例パッチをリリースしたのとほぼ同時期に、セキュリティ研究者が「Office」スイートにさらに新たな3件のバグが存在していることを明らかにした。

　マイクロソフトはこの問題を調査していることを認めているが、危険性は低いと評価している。

　今回、Word 2007にかかわる3件の未パッチ脆弱性について、2つのセキュリティ関係メーリング・リストを使って最初に警告を発したのは、オフェンシブ・セキュリティのマティ・アハロニ氏である。

　マカフィーは4月10日、Webサイト「Milw0rm」および「SecurityVulns.com」に掲載された同氏の警告に注目し、自社のブログでこれを紹介した。アハロニ氏は、この3件の脆弱性を悪用する方法を実証するために特別に作成を行ったWordドキュメントも公開している。

　アハロニ氏は、ランダムに入力信号を送信してアプリケーションの脆弱性を調べる「洗い出し」ツールを使って、今回の問題を突き止めたという。

　3件の脆弱性のうち2件は、PCのプロセッサを100％消費して再起動するまでマシンを使用不能にするサービス拒否攻撃を可能にするものだった。また、残りの1件は、脆弱性を悪用して「wwlib.dll」（Wordの重要なライブラリ）をオーバーフローさせたあと、リモート攻撃コードをマシンに送り込むのに使われる可能性があると、アハロニ氏は見ている。

　「コードの実行を許す脆弱性は、危険性が低いとは言えないはずだ」（アハロニ氏）

　マイクロソフトの広報担当者は、4月11日に電子メールによる声明を発表し、「当社は、このたび公開されたOfficeの脆弱性と考えられる問題について、調査を進めているところだ。現時点では、公表された脆弱性の悪用を試みた攻撃は確認されておらず、顧客に被害も出ていない」と釈明した。

　また同広報担当者は、「われわれの初動調査では、申し立てられている問題がWord 2007やほかのOffice 2007製品の脆弱性となる証拠は見つからなかった」と述べ、同社が問題の危険性を低く評価していることを示唆した。

　もっともマイクロソフトでは、コード実行などにつながるバグを、標的のアプリケーションもしくはコンピュータをクラッシュさせるサービス拒否攻撃の原因になる脆弱性とは区別して扱うのが一般的だ。それでも今回は、アハロニ氏が暴露したバグが確かに存在している可能性を否定していない。

　マイクロソフトの広報担当者は、「現在の調査が終了次第、当社は顧客を保護するための適切な対策を講じるつもりだ。セキュリティ勧告を出したり、月例パッチでセキュリティ・アップデートを提供したりすることが考えられる」と、声明を締めくくっている。

　マイクロソフトは2月中旬にもWordに脆弱性があることを認めており、ユーザーはいまだに修復パッチの提供を待っている状態だ。このバグは、Word 2000およびWord 2002に影響を及ぼすもので、少なくとも2カ月前から攻撃者に悪用されている。

　しかし、マイクロソフトは3月に対応するセキュリティ・アップデートを行わず、4月10日のセキュリティ情報の発表時にもパッチを提供しなかった。

　このタイミングでOffice 2007の新たな脆弱性が公表されたのは、偶然ではないと見られている。研究者らは、マイクロソフトが今月に月例パッチをリリースした直後を狙って、バグの存在を明らかにし、実証コードを提供したのである。

　同脆弱性をブログで取り上げたマカフィーのアナリスト、カーシック・ラマン氏は、「月例パッチのリリースの前後にゼロデイ脆弱性が暴露される事態が、またもや起こってしまった。今回の脆弱性も、次の月例パッチのリリースまで、悪用が試みられる可能性がある」と危惧している。

(グレッグ・カイザー／Computerworld オンライン米国版)