マイクロソフトのOffice Web Componentsに脆弱性。修正ファイルの配布を開始 | RBB TODAY

マイクロソフトのOffice Web Componentsに脆弱性。修正ファイルの配布を開始

エンタープライズ その他

 マイクロソフトは、ウェブブラウザを介してOfficeの機能を提供する「Office Web Components」(OWC)に、セキュリティ上の脆弱性があると発表した。悪意のあるウェブサイトやHTMLメールにより、外部からプログラムを実行されたり、ユーザのシステム上のファイルを読み出されたりするおそれがある。

 脆弱性の原因は、OWCに含まれるActiveXコントロールが提供するHost・LoadText・Copy/Pasteの各関数・メソッドにある。

 1つ目の脆弱性は、Host()機能にある。攻撃者が指定したコマンドをターゲットのPC上で実行させてしまう。2つ目はLoadText()メソッドで、PC上のファイルを読みとられてしまうおそれがある。これら二つは、深刻度「高」に設定されている。

 3つ目の脆弱性はCopy()/Paste()メソッドのもの。OWCのActiveXコントロールがInternet Explorerのセキュリティレベル設定(スクリプトによる貼り付け処理の許可)を無視して動作するため、外部からクリップボードの内容を読みとられるおそれがある。

 OWCは、スタンドアロンでダウンロードできるほか、マイクロソフトのソフトウェア製品にも含まれており、この脆弱性による影響を受けるのは、以下の13製品におよぶ。

・Microsoft BackOffice Server 2000 
・Microsoft BizTalk Server 2000 
・Microsoft BizTalk Server 2002 
・Microsoft Commerce Server 2000 
・Microsoft Commerce Server 2002 
・Microsoft Internet Security and Acceleration Server 2000 
・Microsoft Money 2002 
・Microsoft Money 2003 
・Microsoft Office 2000 
・Microsoft Office XP 
・Microsoft Project 2002 
・Microsoft Project Server 2002 
・Microsoft Small Business Server 2000

 これらの脆弱性についての修正プログラムは、マイクロソフトのウェブサイトで配布されているほか、OfficeXP Service Pack2にも収録されている。
《RBB TODAY》

編集部のおすすめ記事

特集

page top