Word 2000に未パッチの新たな脆弱性
リモート・コードの実行に使われるおそれも米国マイクロソフトは2月14日、クラッカーにコンピュータを乗っ取られるおそれのある深刻な脆弱性が「Word」に存在していることを認めた。同社は2月13日に月例セキュリティ更新プログラムを公開した際に、「Office」アプリケーションの未パッチの深刻な脆弱性はすべて修正されると説明していた。
13日に公開された更新プログラムは、Wordの6件をはじめ、「PowerPoint」と「Excel」の各1件など、合計20件の脆弱性を修正するもので、マイクロソフトはこれらに関する12件のセキュリティ情報を公開した。
マイクロソフトが14日に認めた脆弱性は、マカフィーの研究員が2月9日、Word 2000に未パッチのバグがあるとして報告していたもの。マイクロソフトは同日、同社の分析結果として、この脆弱性はWordをクラッシュさせる可能性があるにすぎないと説明していた。
一般的にこの種の脆弱性は、DDoS(分散サービス妨害)攻撃を招く可能性はあるものの、クラッカーに悪用されても、侵害されたマシン上でクラッカーのコードを実行されるおそれがなく、深刻度は比較的低いとされている。
しかし、その脆弱性に関するマイクロソフトの説明が間違っていることが判明した。マカフィーのアバート・ラボのウイルス研究マネジャー、クレイグ・シュマガー氏は、セキュリティ・リポートの中で「われわれの分析結果は、脆弱性が単にサービス妨害を招く可能性があるだけでなく、リモート・コードの実行に使われるおそれがあることを示している」と警告する。
マイクロソフトも14日に公開したセキュリティ・アドバイザリで、攻撃者がこのWord 2000とWord 2002の脆弱性を悪用してシステム・メモリを改変し、任意のコードを実行するおそれがあることを認めている。
Officeの脆弱性を悪用する攻撃者は通常、不正な形式のドキュメントを添付した電子メールを送信し、受信者をだましてこうした添付ファイルを開かせようとする。マイクロソフトはセキュリティ・アドバイザリで、これまで同様に、Officeドキュメントが信頼できる相手以外から、あるいは心当たりがないのに送られてきた場合は、開かないよう注意を促している。
マイクロソフトはこのWordの脆弱性を修正するパッチの提供を計画していることを認めたが、公開時期は明らかにしていない。ちなみに、次回の月例セキュリティ更新プログラムの公開は、3月13日に予定されている。
セキュリティ関連の第三者機関は、マイクロソフト製品には、まだ修正されていない脆弱性が多数あると報告している。
例えば、SANSインスティチュートのインターネット・ストーム・センターは、今回マイクロソフトが認めたWordのバグをはじめ、昨年12月に発見されたVistaなど各種Windowsに影響するバグなど、同社製品の未パッチのバグを7件挙げている。
一方、イーアイ・デジタル・セキュリティのゼロデイ・トラッカーは、マイクロソフト製品の未パッチの脆弱性は5件あるとしている。
(グレッグ・カイザー/Computerworld オンライン米国版)
