Microsoft Officeにまたセキュリティ問題--専門家が警告

　Microsoft OfficeにはMacromedia Flashファイルの処理方法に関する不具合があり、これを悪用したサイバー攻撃が発生する可能性があると専門家らが警鐘を鳴らしている。

　Symantecは米国時間6月22日、Officeファイルに組み込まれたFlashファイルが、何の警告も発しないままコードを起動し、実行することを明らかにした。Office製品に関連するセキュリティ不具合が報告されるのは、ここ1週間のうちで今回が3度目。

　同社はSymantec DeepSight Alert Servicesの利用顧客に対して発した警告のなかで「この不具合を悪用して、攻撃者は機密性の高い情報をユーザーのマシンから盗み出したり、悪質なコマンドを実行したりすることができる」と述べている。不具合は、研究者のDebasis Mohanty氏によって報告された。

　Microsoftの関係者は、問題の原因はOfficeにおけるActiveXコントロールのロード方法にあるが、これは脆弱性ではないとしている。「同製品はこのような振る舞いをするように設計されており、設計自体が原因でユーザーが危険にさらされることはない」と同関係者は述べている。ActiveXコントロールとはウェブサイトにインタラクティブ性をもたせるために利用されるアプリケーション。

　もっとも、Microsoftは攻撃者がこの機能を悪用すれば、Officeを介してActiveXコントロールをユーザーの気付かぬうちにシステムにロードすることも可能であることを認めている。同関係者によれば、同社では、これを悪用した攻撃について報告を受けていないという。

　「Microsoftでは、公開されたレポートについて引き続き調査し、必要に応じてユーザーに追加のガイダンス情報を提供していく」と同関係者は述べた。最近のOfficeバージョンでは、「killbit」を設定することにより、ActiveXコントロールの動作を停止することができるとMicrosoftは述べている。