注記：　当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。

PC及びMacに影響を及ぼすMS Excelの脆弱性

危険度:高

日付：2007年8月15日

【概要：】

米国時間の8月14日、マイクロソフトはWindows及びMacを対象としたExcelに影響を及ぼす脆弱性について、セキュリティ情報をリリースした。

攻撃者は、ユーザーに悪性のExcelドキュメントを開かせることに成功すると、そのユーザーのマシーンでコードを実行することができるようになる。場合によっては、攻撃者がそのマシーンの完全なコントロール権を獲得できるようになる可能性もある。企業内で脆弱なバージョンのマイクロソフト・オフィスやExcelを使用している場合は、マイクロソフトがリリースしている修正プログラムをできる限り早急にダウンロードし、テストしてから導入することを勧める。

【問題の詳細：】

マイクロソフトは同社のセキュリティ情報でWindowsを対象とした「Microsoft Excel 2000」「XP」「2003」そして、Macを対象とした「Excel 2004」に影響を及ぼす新たな欠陥について説明している。Excelは、ExcelのWorkspaceにある特定のインデックス値を適切にチェックしない。このため、特別に作成されたExcelワークシートを開くことで、この欠陥はスタートし、メモリー破壊の脆弱性を引き起こす。

そうした悪性のExcelドキュメントをユーザーに開かせることに成功すると、攻撃者はこの欠陥を悪用してユーザーの権限を獲得し、その被害者のシステムでコードを実行する。ユーザーにローカル管理者の権限が付いていた場合、攻撃者は被害者のコンピューターを完全にコントロールできるようになる。攻撃者は、罠を仕掛けたExcelファイルをユーザーに開かせるため、ウェブサイトにそのファイルをホストしたり、メールでユーザーに送信したりする可能性がある。

【対策：】

マイクロソフトは、このExcel問題を修正するプログラムをリリースしている。できる限り早急に、状況に適した修正プログラムをダウンロードしテストしてから導入することを勧める。
修正プログラムの日本語版ダウンロード先は次の通り。

■ウィンドウズ

Office 2003のExcel 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=b0130e9e-8845-4d79-aaa1-a21cc9388abe　

Excel Viewer 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=c4a87572-3128-44f7-8069-95535a78500a　

Office 2002のExcel XP
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=91308769-2577-4f9f-8209-06f2c8c8a86f　

Office 2000のExcel 2000
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=082b98f7-9556-4f1f-823a-c41ddf5a7c9a　

■Mac

Mac対象Office 2004のExcel 2004
（日本語版をダウンロードするには、は枠内の下から2番目にある「Japanese」を選択）
http://www.microsoft.com/mac/downloads.aspx?pid=download&location=/mac/download/Office2004/Office2004_1137.xml&secid=4&ssid=37&flgnosysreq=True　

2007 Office Systemへのこの問題の影響はない。

【ステータス：】
マイクロソフトはこうした問題を修正するプログラムをリリースしている。

【参考文書：】
マイクロソフトのセキュリティ情報一覧（日本語）
http://www.microsoft.com/japan/security/default.mspx　

調査・文：Corey Nachreiner（コーリー・ナクライナー）、CISSP