Office 2007にリモート・コード実行を許す脆弱性
マイクロソフトは「調査中」とコメントマイクロソフトのオフィス・スイート「Office system 2007」で、リモート・コードの実行を許す脆弱性が発見された。米国イーアイ・デジタル・セキュリティが2月23日に明らかにしたもので、Office 2007で脆弱性が見つかったのはこれが初めてとなる。
イーアイのUpcoming Advisoriesサイトに掲示された情報によると、Office 2007の一部のエディションに含まれるデスクトップ/Webパブリッシング・プログラム「Publisher 2007」にバグがある。「同ソフトにはバグが存在し、ユーザーがログインした状態で任意のコードをリモート実行されるおそれがある」(イーアイ)という。イーアイはこの脆弱性を「high(重大)」と評価し、1週間前にマイクロソフトに報告した。
「今はマイクロソフト(のセキュリティ・レスポンス・センター)とやり取りしているところだ」と、イーアイでCTO(最高技術責任者)を務めるマーク・マイフレット氏は述べた。
マイクロソフトは、イーアイと共同で作業していることを認めている。マイクロソフトの広報担当者は、「当社では、イーアイから報告を受けたPublisher 2007の脆弱性を調査中だ。現在のところ、この脆弱性を悪用した攻撃は確認されていない」とコメントしている。
マイフレット氏は脆弱性の詳細を明らかにすることを拒んだが、Publisher 2007の脆弱性がファイル形式に関するバグであることを暗に認めた。「(Officeの)バグの90%はファイル形式にある。今回も基本的に同じだ」(同氏)
過去14カ月の間、Office(Office 2000からOffice 2003まで)のユーザーは膨大な数のバグに直面してきた。マイクロソフトは2006年中にセキュリティ・アップデートをOffice 2000向けに13個、Office 2003向けに11個公開したほか、2007年の最初の2カ月間だけで、Office 2000向けに4回、Office 2003向けに6回公開している。
「マイクロソフトは、Office 2007はセキュリティ開発ライフサイクルを採用した最初の製品の1つであり、すばらしいものになると公言していた。にもかかわらず、今回の(脆弱性)は、Officeに問題が相変わらず存在することを示している」(マイフレット氏)
イーアイはこのほか、Windows Vistaに関する脆弱性についても、重大な警告として列挙している。同社は、これらを1月19日にマイクロソフトに報告したとしている。
(グレッグ・カイザー/Computerworld オンライン米国版)
