Microsoftは米国時間5月12日、「PowerPoint」に存在した深刻な脆弱性を修正するパッチをリリースした。問題となった脆弱性はすでに悪用されていた。
脆弱性は「Microsoft Office 2000」においては深刻度が「緊急」に分類されているが、「Microsoft Office XP」「Microsoft Office 2003」「2007 Microsoft Office」では「重要」レベルに指定されている。このセキュリティホールを突く攻撃は始まっており、Microsoftは4月に警告を発していた。
今回のパッチリリースでWindows版PowerPointの不具合は修正されたが、Mac版OfficeやMicrosoft Works用のフィックスについては現在準備中であると、Microsoftは述べている。Microsoft Worksは、同社製生産性スイートのエントリレベル版。
Microsoftのセキュリティレスポンスコミュニケーションを統括するChristopher Budd氏は声明で「Mac版OfficeとMicrosoft Works 8.5および9.0のアップデートは現在開発中」として、「テストが完了し、高度な品質を保証できることが確認できたら、これらのソフトウェア用にもアップデートを発行する。セキュリティアップデートを段階的にリリースするのは、Windowsプラットフォームでの悪用が確認されているためである」と述べた。
Microsoftによると、パッチを適用しない場合、特別に細工されたPowerPointファイルを表示することで脆弱性が悪用される可能性があるという。悪質なファイルを表示すると、PowerPointがメモリの無効なオブジェクトにアクセスし、その結果、攻撃者は遠隔地からコードを実行できるようになる。
フィックスは、Microsoftが月例で毎月第2火曜日に最新パッチを提供する「Patch Tuesday」の一環として公開された。
Microsoftによると、この更新プログラムはPowerPoint 2000およびPowerPoint 2002がPowerPoint 4.0のネイティブファイル形式を開かないようにすることで、脆弱性を解決するという(同オプションはPowerPoint 2003 Service Pack 3ではデフォルトで無効に設定されている。まだこの機能はPowerPoint 2007には存在しない)。
MicrosoftはPowerPoint 2002以降のバージョンで深刻度を緊急に指定しない理由について、ドキュメントを開く前にユーザーに警告を発しており「複数のユーザーアクションを介して初めて悪用が完遂される」ためとしている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」