まずは、このブログでもすでに取り上げている脆弱性です。以下はIT Proからの引用です。
今回明らかにされたのは,Excelの文書ファイルを開くだけで,ファイルに仕込まれた悪質なプログラムを実行させられる危険なセキュリティ・ホール。 実際,あるユーザーからは,今回のセキュリティ・ホールを悪用する攻撃を受けたとする報告が寄せられているという。この攻撃では,セキュリティ・ホールを 悪用するファイルが,メールに添付されて送られた模様。
MSRCでは,セキュリティ・ホールの詳細を明らかにしていない。また,修正パッチ(セキュリティ更新プログラム)も未公開。他のベンダーやユーザーからも公表されていないセキュリティ・ホールである。このため今回の攻撃は,いわゆる“ゼロデイ”攻撃といえる。
Excelにパッチ未公開のセキュリティ・ホール,ファイルを開くだけで被害に IT Pro 6月16日
この脆弱性に関してはすでにマイクロソフトよりアドバイザリが公表されています。マイクロソフト セキュリティ アドバイザリ (921365) マイクロソフト
今回の脆弱性はWordの時と異なり、Viewerでも影響を受けるようです。
そして、次に見つかったのはハイパーリンクに関する脆弱性です。この脆弱性に関してはすでに実証コードがネットに流れているようです。
またもやWindowsにパッチ未公開のセキュリティ・ホール,Excelが影響を受ける IT Pro 6月21日
Excel、今度は「ハイパーリンク」で未パッチの脆弱性 ITmedia 6月21日
Excelのハイパーリンク脆弱性、実証コード登場 ITmedia 6月22日
最後に、見つかったのがFlashオブジェクトに関する脆弱性です。この脆弱性に関してもすでに実証コードが流れているようです。以下はITmediaからの引用です。
攻撃者はExcelのShockwave Flash Object機能を使って悪質なFlashファイルを組み込んだExcelファイルを作成し、ユーザーがこのExcelファイルを開くとFlashコードが自動的に実行されるという。
脆弱性発見者のアドバイザリーでは実証コードも公開されているという。
Excelで3番目のゼロデイ攻撃? ITmedia 6月23日
Microsoft Officeにまたセキュリティ問題--セキュリティ専門家が警告 CNET Japan 6月23日
それにしても、こう立て続けに脆弱性が発見されるとやはりMicrosoft製品に不安を抱いてしまいますよね。次の年末年始は次期OSであるWindows Vista、そして新しいOffice製品であるOffice12
が発売されます。出荷されたとたんにセキュリティパッチが大量に公開されるということにならなければ良いのですが・・・。
【追記】
マイクロソフトのセキュリティ・チーム「Microsoft Security Response Center(MSRC)」は、Excelで見つかった3番目のセキュリティホールとされているものは仕様であると発表しました。脆弱な(セキュリティ・ホールが存在する)ActiveXコントロールがパソコンに存在する場合のみ,この仕様を攻撃者に悪用される恐れがあるということらしいです。
「Excelの『第3のセキュリティ・ホール』は仕様」,MSのセキュリティ・チーム IT Pro 6月26日
6月27日
0 件のコメント:
コメントを投稿