MicrosoftはOffice 2007をこれまでになく安全なものにしようと努力してきたが、それにも関わらず、研究者から「非常に重大な」なセキュリティ脆弱性が発表された。
Office 2007が一般発売されたのはたったの4週間前。MicrosoftはSecurity Development Lifecycle(セキュリティ開発ライフサイクル:SDL)の一環としてソフトウェアのコード検査を行い、攻撃者による高度な脆弱性探しに耐える設計を施していた。
しかし、このたびeEye Digital Securityの研究者がMicrosoft Office Publisher 2007のファイルフォーマットに脆弱性を発見した。悪用された場合、外部からローカルマシン上でコードを実行される危険がある。
eEyeの最高経営責任者(CEO)Ross Brown氏は「(Office 2007発売後)こんなに早く脆弱性が見つかったこと、それがコアプロダクトの脆弱性であったことに驚いている」と述べた。
同氏によると、攻撃者は悪意あるPublisherファイルを作成可能であるという。ファイルを開くと感染し、リモートから攻撃可能な状態になる。
eEyeの研究者はごく普通のコード検査手順で脆弱性を発見したと、Brown氏は付け加えた。同氏は、Microsoftがコード検査が不十分だったか、人手が足りていなかったのではないかと指摘した。
一方Microsoftは、Publisher 2007に脆弱性がある可能性を指摘したeEyeの報告について調査中であり、必要があればユーザーに追加情報を提供するとした。
Microsoftの経営陣は最近、インターネットに接続されるデバイスが増えているため、セキュリティ問題は今後も重要な課題になるだろうと述べている。
eEyeによると、Publisher 2007の脆弱性を悪用するコードが出回っているとの報告はないという。攻撃者はより広く普及したソフトウェアを狙う傾向があることから、Office 2007の売れ行きを考えると、今回の脆弱性はあまり見向きされないだろうという。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ