悪性のExcelドキュメントによるOfficeユーザへのリスク 2008年10月14日
悪性のExcelドキュメントによるOfficeユーザへのリスク
危険度:高
2008年10月14日
【概要】
対象:
Windows版とMac版のMicrosoft Office最新版(Excel Viewer、Office Compatibility Pack、SharePointを含む)
攻撃方法:
細工したOfficeドキュメントをユーザに開かせるように誘導するなど攻撃方法は多数ある
影響:
様々な結果があるが最悪の場合、攻撃者はコードを実行してユーザのコンピュータを完全に操作できるようになる
対策:
状況に適したOfficeパッチを至急インストールすること
【詳細】
米国時間の10月14日、マイクロソフトはWindows版のMicrosoft Officeに見られる4件の脆弱性について説明したセキュリティ情報を2件リリースした(1つのケースにおいてはMac版Officeにも影響がある)。中にはMicrosoft Excel Viewer、Office Compatibility Pack、SharePointサーバなどに影響を与えている脆弱性もある。脆弱性がもたらす影響はOfficeバージョンにより異なるが、中でも悪質な脆弱性3件はExcelが細工されたドキュメントを処理する方法に関与する。こうした欠陥はそれぞれ技術的に異なるが、その影響はどれも同じである。攻撃者は、細工したExcelドキュメント(.xlsファイル)をユーザがダウンロードして開くように誘導し、その脆弱性を悪用して被害者のコンピュータでコードを実行できるようになる。大方の場合、攻撃者はユーザに与えられているレベルの権限や許可権を獲得できる。また、ユーザにローカル管理者の権限がある場合は攻撃者がユーザのコンピュータを完全に操作できるようになる。
その他の脆弱性が掲げるリスクはExcelの脆弱性に比べて低く、Office XPにのみ影響し、Office XPがいかに「content-disposition」ヘッダを処理するかに関与している。このヘッダに関する詳細についてはマイクロソフトのナレッジ・ベース記事(Microsoft Knowledge Base Article 260519)を参照することを勧める。この問題はユーザが特定のコンテンツをダウンロードしたいか確認する「ファイル・ダウンロード」ダイアログを表示すべき場合においても、ウェブ・ブラウザーがそのヘッダでコンテンツをレンダーできるようにOfficeが許可することに関連している。攻撃者は、この寛容な仕組みを悪用し、ユーザに対してクロスサイト・スクリプティング(XSS)攻撃を仕掛けることができる。攻撃者は正当なサイトに行くように見せかけたリンクをユーザがクリックするように誘導し、欠陥を悪用してコンテンツを偽造、情報の漏えいを行ったり正当なサイトでユーザのように行動できるようになる。
各欠陥の詳細について知りたい場合は、セキュリティ情報にある脆弱性の詳細欄を参照することを勧める。
【対策】
マイクロソフトはこうした脆弱性を修正するOfficeパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてから適用することをすすめる。
MS08-057
Excelアップデート・ダウンロード先:
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること。
MS08-056
ウォッチガード・ユーザ:
ウォッチガードFirebox製品の中にはExcelドキュメントをブロックするように設定できるものもあるが、仕事上Excelドキュメントを必要とする企業や組織が大多数であるだろう。このためパッチを導入することが主な対策となるが、マイクロソフトが提供しているパッチをインストールするまで一時的にOfficeドキュメントをブロックすることを検討する必要もあるだろう。
このように、Excelドキュメントをブロックしたい場合はFireboxプロキシのコンテンツ・ブロック機能で .xls拡張子を設定する。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
【ステータス】
マイクロソフトは問題を修正するOfficeアップデートをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-056
マイクロソフトのセキュリティ情報:MS08-057
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
危険度:高
2008年10月14日
【概要】
対象:
Windows版とMac版のMicrosoft Office最新版(Excel Viewer、Office Compatibility Pack、SharePointを含む)
攻撃方法:
細工したOfficeドキュメントをユーザに開かせるように誘導するなど攻撃方法は多数ある
影響:
様々な結果があるが最悪の場合、攻撃者はコードを実行してユーザのコンピュータを完全に操作できるようになる
対策:
状況に適したOfficeパッチを至急インストールすること
【詳細】
米国時間の10月14日、マイクロソフトはWindows版のMicrosoft Officeに見られる4件の脆弱性について説明したセキュリティ情報を2件リリースした(1つのケースにおいてはMac版Officeにも影響がある)。中にはMicrosoft Excel Viewer、Office Compatibility Pack、SharePointサーバなどに影響を与えている脆弱性もある。脆弱性がもたらす影響はOfficeバージョンにより異なるが、中でも悪質な脆弱性3件はExcelが細工されたドキュメントを処理する方法に関与する。こうした欠陥はそれぞれ技術的に異なるが、その影響はどれも同じである。攻撃者は、細工したExcelドキュメント(.xlsファイル)をユーザがダウンロードして開くように誘導し、その脆弱性を悪用して被害者のコンピュータでコードを実行できるようになる。大方の場合、攻撃者はユーザに与えられているレベルの権限や許可権を獲得できる。また、ユーザにローカル管理者の権限がある場合は攻撃者がユーザのコンピュータを完全に操作できるようになる。
その他の脆弱性が掲げるリスクはExcelの脆弱性に比べて低く、Office XPにのみ影響し、Office XPがいかに「content-disposition」ヘッダを処理するかに関与している。このヘッダに関する詳細についてはマイクロソフトのナレッジ・ベース記事(Microsoft Knowledge Base Article 260519)を参照することを勧める。この問題はユーザが特定のコンテンツをダウンロードしたいか確認する「ファイル・ダウンロード」ダイアログを表示すべき場合においても、ウェブ・ブラウザーがそのヘッダでコンテンツをレンダーできるようにOfficeが許可することに関連している。攻撃者は、この寛容な仕組みを悪用し、ユーザに対してクロスサイト・スクリプティング(XSS)攻撃を仕掛けることができる。攻撃者は正当なサイトに行くように見せかけたリンクをユーザがクリックするように誘導し、欠陥を悪用してコンテンツを偽造、情報の漏えいを行ったり正当なサイトでユーザのように行動できるようになる。
各欠陥の詳細について知りたい場合は、セキュリティ情報にある脆弱性の詳細欄を参照することを勧める。
【対策】
マイクロソフトはこうした脆弱性を修正するOfficeパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてから適用することをすすめる。
MS08-057
Excelアップデート・ダウンロード先:
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること。
- Office 2000 w/SP3
- Office XP w/SP3
- Office 2003 w/SP3
- 2007 Microsoft Office System w/SP1
- Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
- SharePoint Servers対象:
MS08-056
ウォッチガード・ユーザ:
ウォッチガードFirebox製品の中にはExcelドキュメントをブロックするように設定できるものもあるが、仕事上Excelドキュメントを必要とする企業や組織が大多数であるだろう。このためパッチを導入することが主な対策となるが、マイクロソフトが提供しているパッチをインストールするまで一時的にOfficeドキュメントをブロックすることを検討する必要もあるだろう。
このように、Excelドキュメントをブロックしたい場合はFireboxプロキシのコンテンツ・ブロック機能で .xls拡張子を設定する。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- FTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分30秒)
Windows Media, 17.4MB/QuickTime, 11.8MB - HTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分52秒)
Windows Media, 32MB/QuickTime, 28.6MB - POP3プロキシでファイルをブロックするには?(ビデオ所要時間2分35秒)
Windows Media, 17.6MB/QuickTime, 16.5MB - SMTPプロキシでファイルをブロックするには?(ビデオ所要時間2分18秒)
Windows Media, 12.2MB/QuickTime, 9.1MB - Fireware 10.xを使用しているFirebox X CoreとX Peak:
- FTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分30秒)
Windows Media, 25.2MB/QuickTime, 9.1MB - HTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分52秒)
Windows Media, 38.2MB/QuickTime, 10.7MB - POP3プロキシでファイルをブロックするには?(ビデオ所要時間2分35秒)
Windows Media, 23.2MB/QuickTime, 10.1MB - SMTPプロキシでファイルをブロックするには?(ビデオ所要時間2分18秒)
Windows Media, 25.6MB/QuickTime, 9.0MB
【ステータス】
マイクロソフトは問題を修正するOfficeアップデートをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-056
マイクロソフトのセキュリティ情報:MS08-057
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。