Microsoftは米国時間3月9日、表計算ソフトMicrosoft Excelに存在する、7件の潜在的な危険のあるセキュリティホールを修正し、Windowsユーザーが特別に作成されたExcelファイルを開くと、攻撃者が遠隔からコード実行攻撃を受ける可能性があると警告している。
このMicrosoft Excelに対するアップデートは、3月の月例パッチで提供されるものだ。この月例パッチでは、Windows Movie MakerとMicrosoft Producer 2003に存在する脆弱性についても修正している。
Excelの脆弱性の1つ(CVE-2010-0263)は、新しく導入されたOpen XMLファイル形式に関する脆弱性としては初めてのものだ。
このExcelへのアップデート(MS10-017)は、Microsoft Office Excelのサポート対象の全バージョンに影響がある。さらに、Office 2004 for MacおよびOffice 2008 for Mac、Open XML File Format Converter for Mac、サポート対象バージョンのExcel Viewer、SharePoint 2007なども影響を受ける。
Microsoftのセキュリティレスポンスチームによれば、多くのOfficeの脆弱性の場合と同様に、この脆弱性が悪用されるには、ユーザーが特別に作成されたファイルを開く必要がある。
2件目のセキュリティ情報(MS10-016)では、影響を受ける製品のリストにMicrosoft Producer 2003が挙げられているにも関わらず、同社はこのソフトウェアに対するパッチを提供していない。
この件について、MicrosoftのAdrian Stone氏は次のように説明している。
Producer 2003は無料ダウンロードで提供されており、限定的にしか配布されていない。現時点では、われわれはProducer 2003に対するアップデートを提供していない。われわれの標準的なアプローチは、影響を受けるすべての製品に対して同時に、自動的に適用できるアップデートを作成するというものだが、Producer 2003では自動アップデートの仕組みが提供されていない。われわれの調査に基づき、大多数の顧客を保護する最善の方法は、Windowsと一緒に出荷されたコンポーネントだけを対象とするアップデートをリリースすることだと判断した。Producer 2003に対する調査は継続していくが、顧客に対してはこのアプリケーションをアンインストールするか、提供されているMicrosoft Fix Itを適用して、このアプリケーションからプロジェクトファイル形式への関連付けを外し、セキュリティの層を一段追加することを推奨する。
Microsoftはまた、セキュリティ情報MS09-033を再リリースし、この問題の影響を受ける製品にVirtual Server 2005を追加した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
