マイクロソフトのすべてのオフィス製品で、「OLE2Linkオブジェクト」と呼ばれる処理に脆弱性があることが分かった。第三者によって細工されたオフィス・ファイルがメールなどに添付で送付され、これをユーザーが開くとリンク先にある任意のプログラムが実行される恐れがあるという。日本の情報セキュリティ対策に取り組むJPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同で運営するJVN(Japan Vulnerability Notes)で、11日に発表された。
OLE2Linkオブジェクトの処理では、遠隔のサーバーに置かれたファイルが、サーバー側で関連付けられたMIMEタイプに従って処理される。MIMEタイプの中には、任意のプログラムを実行できる危険なものも含まれている。すでに、ワードのDOC形式に偽装されたRTF(リッチテキスト)形式の文書ファイルをユーザーが開くと、遠隔のサーバーに接続してHTMLアプリケーションであるHTAファイルを取得し、その中に含まれるVBスクリプトがユーザーの端末上で実行されてしまう、という攻撃が報告されている。この攻撃は、ワード以外のウィンドウズ・コンポーネントを標的としても行われる可能性がある。
マイクロソフトは毎月第二火曜日(日本では水曜日)に、同社の製品のセキュリティの問題などを修正するプログラムを提供している。12日に公開された4月の月例セキュリティ更新プログラムに、この脆弱性に対する修正(KB3141529、KB3141538、KB3178703、KB3178710)も含まれていた。
この更新プログラムを適用するまでの暫定対応として「保護ビュー」の活用が挙げられる。最近のオフィス製品は、インターネット上から取得した安全でない可能性のある文書ファイルを、読み取り専用の保護ビューで開く。内容を読むだけであれば、安易に保護ビューを解除しないことが推奨される。
(写真はイメージ)
