「Microsoft Office」に新たな脆弱性、Mac OS X版も対象に

Microsoftより米国時間２日、「Microsoft Office 2004 for Mac」を含む各種「Microsoft Office」を対象としたセキュリティホールの存在が報告されています。

• icrosoft Security Advisory (932553): Vulnerability in Microsoft Office Could Allow Remote Code Execution
• MS、「Excel」の脆弱性を利用したゼロデイ攻撃を警告--Mac版も影響 - CNET Japan

ここ数ヶ月の間に「Microsoft Word」を中心として立て続けにセキュリティホールの存在が報告されているMicrosoft Officeですが、この度公開された上記Linkのセキュリティアドバイザリ（CVE-2007-0671）によると、Microsoft Office 2004 for Macを含む各種Microsoft Officeにおいて、新たなゼロディ脆弱性の存在が確認されているとの事。影響を受けるシステムとして、Microsoft Office 2000/XP/2003、及びMicrosoft Office 2004 for Macが挙げられており、攻撃対象として前記Microsoft Officeにおける「Microsoft Exel」が示されているようです（他のOfficeアプリケーションも潜在的には脆弱であるとされています）。

同脆弱性では、細工が施されたOffice関連ファイル（不正な形式の文字列を用いる等）を表示した際にコンピュータにおけるメモリ破損が誘発され、攻撃者によるリモートコードの実行を招く危険性等が確認されているとの事。攻撃が行われる際の前提条件として、電子メールにおける添付書類、或いは攻撃者より提供された悪意を有するOffice関連ファイルの実行等が挙げられており、現時点で修正プログラムは未公開と伝えられています。

また、Secuniaより４日付にて発せられたセキュリティアドバイザリでは、脆弱性における危険度が５段階中最高となる「Extremely critical」にレーティング。Microsoftにおける現時点での対応として「Windows Live OneCare PC Safety」における検出機能の追加等が行われているようです。