また「緊急」の欠陥-今度はMS Officeに

　米Microsoftは3日（米国時間）、またもや複数のセキュリティ警告を発表した。このなかには、Officeアプリケーションの多くに影響する、深刻度が最高の「緊急」とされた欠陥の警告も含まれている。

　今回発表された欠陥のなかで、最も深刻なものはVisual Basic for Applications（VBA）ソフトウェアに見つかった欠陥で、脆弱なパソコンが攻撃者に乗っ取られる恐れがある。VBAは、他のMicrosoft製品と連動するデスクトップアプリケーションの開発に用いられている。

　Microsoftのセキュリティ情報に詳細に記されている通り、バッファ（プログラムに割り当てられたメモリの塊）を氾濫させる、いわゆるバッファオーバーフローを引き起こす文書を、悪意のあるユーザーがVBAアプリケーションを使って作成できる恐れがあるという。

　この欠陥は、Access、Excel、PowerPoint、Wordの2002、2000、97バージョンなど、VBAスクリプトをサポートしている最近のOfficeバージョンに影響がある。VBAスクリプトは、Project 2002および2000、Visio 2002と2000、Works Suiteの2002、2001、2000でも使用されている。MicrosoftのBusiness Solutionsブランドで販売されている、Great Plains会計ソフトのバージョン7.5など複数の製品にも、この欠陥によるリスクがあるという。

　ほとんどのケースでは、悪意をもって作成された文書を受け取ったユーザーがそれを開かない限り、攻撃は開始されない。ただし、MicrosoftのOutlook電子メールクライアントが、WordをHTMlウェブコード編集用のデフォルトプログラムと設定している場合、悪意のあるファイルが添付されたメッセージへの返信や転送によって、攻撃が引き起こされる恐れがある。

　今回出された他のセキュリティ警告も、Officeアプリケーションに関するものだ。Wordの最近のバージョンには、ハッカーにマクロを自動実行されてしまう恐れがあるという。マクロとは、繰り返し作業の自動処理によく利用される、小さなプログラムのこと。マイクロソフトのセキュリティ情報によると、悪意を持って作成された文書を開かない限り、この欠陥は悪用されないとされており、深刻度は「重要」となっている。Word 2002、2000、98、97およびWorks Suiteの2003、2002、2001のユーザーは、パッチをあてるよう強く推奨されている。

　また、Officeアプリケーションが、CorelのWordPerfectソフトウェア用フォーマットで作成された文書を変換する方法に欠陥があり、バッファオーバーフローが起きる可能性があることも明らかにされた。同社のセキュリティ情報によると、このセキュリティホールはOffice、FrontPage、Publisher、Works Suiteの最近のバージョンに存在し、深刻度は2番目の「重要」だという。この欠陥により、攻撃者がパソコンに侵入して、任意のコードを実行する恐れがある。パッチは、セキュリティ情報のページからダウンロード可能だ。

　この他にも、Officeに関連するバッファオーバーフローの脆弱性が報告されている。MicrosoftのAccessデータベースアプリケーションにある「Snapshot Viewer」ツールで作成された悪質な文書を開くと、任意のコードが実行される恐れがあるというもので、深刻度は3番目の「警告」とされている。この欠陥の影響を受けるのはAccess 2002、2000および97だが、パッチで修正できる。

　今回発表された最後の欠陥は、Windowsオペレーティングシステムの最近のバージョンの、NetBIOS（ネットワーク基本入出力システム）ネットワークコンポーネントに見つかったもので、深刻度は最低の「注意」だ。ある特定の状況下で、ネットワークのクエリーにパソコンのメモリ上のランダムデータが含まれ、機密データが漏洩する恐れがあるという。