MS Officeの旧バージョンに欠陥--DoS攻撃に悪用される危険性

　米国時間7日にあるセキュリティ対策会社が、Microsoft Officeの旧バージョンのなかに見つかった欠陥により、これらの製品が動作するシステム上からDoS（サービス拒否）攻撃を仕掛けられてしまう可能性があるとの警告を発した。

　セキュリティベンダーのSecuniaは、Office 2000でバッファオーバーランの欠陥が発見されたとの勧告を同社のウェブサイトに掲載した。この欠陥はOffice XPにも存在する可能性があり、ハッカーがこれを利用してユーザーのシステムをコントロールできるようになってしまうという。同社ではこの欠陥の深刻度を「極めて高い」に分類している。

　同社では、この脆弱性について、Microsoft Wordが文書ファイルをパースするときの入力処理にあるエラーが原因だとしている。同社は、特別に作成した文書を使ってこの欠陥を悪用される可能性があると述べ、修正方法が見つかるまでは、Wordのドキュメントは信頼できるものしか開かないように注意を促している。

　Microsoftはこの問題を調査中だと語ったが、それと同時に、公表前にMicrosoftに通知しなかったとしてバグの発見者を非難した。Secuniaではこの人物を「HexView」という名前でしか明らかにしていない。

　Microsoftの関係者は、「現時点では、報告された脆弱性が悪用されたり、顧客への影響が出たという話は聞いていないが、我々はこの報告の調査を積極的に進めている」と電子メールに記している。また同社では、一般への公表前にこの欠陥について知らされなかったことを懸念していると語った。

　「今回Wordのなかに見つかった脆弱性の報告が責任ある形で公表されず、コンピュータユーザーが危険にさらされてしまったことに対して、Microsoftでは懸念を抱いている」とこの関係者は述べ、さらに「脆弱性はベンダーに直接通知するという一般に認知された方法を用いることが全員の利益につながると我々は考えている。こうすることで、パッチの開発中に悪意を持つ攻撃者からの危険にさらされることなく、セキュリティの脆弱性に対する総合的で品質の高いアップデートを確実に受けられるようになる」と付け加えた。

　なお、セキュリティ関連コミュニティの中には、Microsoftがパッチの開発に時間をかけすぎだとする批判の声もある。