■「Officeのオブジェクト・ライブラリにメモリ・アクセス・エラーの脆弱性」は未解消
Officeには、2006/07/12日付け配信のHotFix Weeklyで報告した「オブジェクト・ライブラリのメモリ・アクセス・エラーの脆弱性」が存在する。この脆弱性も、MS07-025で置き換えられる「MSO9.DLL/MSO.DLL」に起因するものである。
DA LabでMS07-025の修正プログラムを適用したOffice 2000/XP/2003環境を用意し、この脆弱性を検証するWordファイルを開いたところ、いずれの環境においてもWordが異常終了し、脆弱性が依然として存在することが明らかになった。ただこの脆弱性については、その後の調査により、コードが実行可能な脆弱性でない(サービス拒否の脆弱性にとどまる)ことが明らかになっている。そのため、脆弱性の解消が後回しになっているものと思われる。
・HotFix Weekly 2006/07/12日付け(Officeのオブジェクト・ライブラリにメモリ・アクセス・エラーの脆弱性):
http://www.hotfix.jp/archives/alert/2006/news06-0712.html#02
・脆弱性識別番号(CVE-2006-3493):
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3493
■複数のOfficeのバージョンをインストールしている場合は各Office向け修正プログラムの適用が必要
脆弱性の対象となっている「MSO9.DLL/MSO.DLL」は、Officeのバージョンごとに提供されており、異なるフォルダにインストールされている。そのため複数のOfficeのバージョンがインストールされている環境では、各Office向けの修正プログラムを個別に適用する必要がある。例えば、Office
2000にExcel Viewer 2003をインストールしているようば場合は、Office 2000向けとOffice 2003向けの修正プログラムを適用しなければ、脆弱性は解消されない。
■Office互換機能パックをインストールしている場合も修正プログラムを適用すべき?
Office 2000/XP/2003にOffice互換機能パック*をインストールしている場合、Microsoft
Updateを実行すると各Office向け修正プログラムに加えて、Office 2007向けの修正プログラムもリストアップされる。これは、MS07-025の脆弱性の原因である「MSO.DLL」がOffice互換機能パックにも含まれるためだ。ただしマイクロソフトは、Office互換機能パックがこの脆弱性の影響を受けるかどうか明記していない。
そのため、Office互換機能パックをインストールしている場合は、Office 2000/XP/2003向け修正プログラムに加えて、Office互換機能パック向け修正プログラムも適用するほうが安全だ。
*Office互換機能パックは、Office
2000/XP/2003において、Word/Excel/PowerPoint 2007のファイル形式の文書、ブック、プレゼンテーションを読み込んで、その編集や保存を可能にする機能を提供するもの
■Office 2000向けはOffice Updateで提供
MS07-025のOffice 2000向けの修正プログラムは、ダウンロード・センターとOffice Updateで提供されている。Microsoft UpdateはOffice
2000に対応していないため、MS07-025のOffice 2000向けの修正プログラムは表示されないので注意が必要だ(自動更新でも適用されない)。ダウンロード・センターで修正プログラムを入手して手動で適用を行うか、Office
Updateを実行する必要がある。
なおOffice XP/2003/2007向けの修正プログラムは、Microsoft Updateで提供されるため、ほかのセキュリティ修正プログラムとともに選択・適用が可能だ。
■修正プログラムのアンインストールに必要な条件
Office XP/2003/2007向けの修正プログラムは、以下の条件を満たせばアンインストール可能である。Office 2000向けの修正プログラムはアンインストールできないので適用前に十分な検証を行った方がよい。
- OSがWindows XP SP2またはWindows Server 2003 SP1/R2/SP2
- Windows Installer 3.0以降をインストールした後で修正プログラムを適用
- OfficeのインストールCDにアクセス可能
|