マイクロソフト、「Office 2003」のセキュリティアドバイザリの誤りを認める

　Microsoftは「Office 2003」についてリリースしたセキュリティアドバイザリに誤りがあったことを認めた。

　2007年12月に掲載されたアドバイザリは、十数種類のファイル形式にセキュリティ上の弱点があるためOffice 2003の最新のサービスパック（SP3）ではこれらのファイル形式をブロックしたという内容だった。

　そして、ブロックを解除したいユーザーに回避方法を教示していたが、そのプロセスは複雑であり、レジストリの修正が必要だった。誤ってレジストリを修正した場合は、PCが使用できなくなるおそれがあった。

　Microsoftは米国時間1月4日、過去に提供した情報が誤っており、影響を受けるユーザーの数を低く見積もっていたことを認めた。そして、セキュリティの問題があったのはファイル形式そのものではなくて、Office 2003がそれらのファイル形式を開いて保存するために使用する構文解析コードだったと述べている。

　Microsoft Officeのワールドワイド製品マネージャーであるReed Shaffner氏は4日、ZDNet.co.ukに対して、Microsoftが提供したアドバイザリは正しくなく、Microsoftが推奨していた手動によるレジストリの修正はエンドユーザーには実行が困難であったことを認めた。

　なぜMicrosoftはもっと簡単な修正方法を採用しなかったのかという質問に対し、Shaffner氏は次のように回答した。「それほど多くのユーザーが影響を受けるとは思わなかった。われわれが受け取っていたメッセージでは、多くのユーザーが影響を受けてはいないということだった。しかし、それは当社の判断ミスだった」

　Microsoftは4日の夜にアドバイザリを更新し、それらのファイル形式をブロック解除する4件のダウンロード可能なアップデートへのリンクを含めた。「Word」「Excel」「PowerPoint」「CorelDRAW」の各ファイル形式に対して1つずつアップデートが提供されている。（編集部注：本稿の翻訳時点では、日本語ページにはまだ新情報が反映されていない）

　ダウンロード可能なアップデートは手動でレジストリを修正するよりも導入がはるかに簡単なはずだが、更新されたアドバイザリにはレジストリの修正方法も引き続き掲載されていた。

　Microsoftはそれらのファイル形式を再ブロックするための4件のダウンロード可能なアップデートも提供した。

　Shaffner氏は次のように述べている。「IT管理者には、従来から掲載しているように（レジストリを）修正する方法を推奨する。一方、エンドユーザーの場合は、古いファイル形式を頻繁に使用するのであれば、こちら（ダウンロード可能なアップデートを使用すること）を推奨する」。また、古いファイル形式を頻繁に使用しないのであれば、アップデートを適用するべきではないと提言している。

　Microsoft Officeグループのシニアソフトウェア開発エンジニアのDavid LeBlanc氏は、Microsoftの方針の転換についてさらに詳細な情報を提供している。

　LeBlanc氏は4日に自身のブログで次のように記している。「われわれは攻撃者が古いファイル形式のパーサーを優先的に攻撃しているらしいことに気づいた。ユーザーの大多数が古いファイル形式を必要としないならば、それは見返りのないリスクである。「Office 2007」および最終的にOffice 2003 SP3でも古いファイル形式を無効にしたのはこのような理由によるものだ。将来には古いファイル形式の使い勝手をさらに向上させるようにより一層努力していきたい」