Microsoft 製品に複数の脆弱性、うち1件は最大の深刻度評価

Microsoft (NASDAQ:MSFT) は3日、同社のソフトウェア製品に新たに複数の脆弱性が見つかったとして、セキュリティ情報を公開した。主力スイート製品『Office』の一部バージョンに関係するもので、中には深刻度が最大の「緊急」になっている脆弱性もある。

第1の脆弱性は、『Microsoft Visual Basic for Applications』(VBA) が、受け取るドキュメントプロパティを確認する方法に存在するもので、悪用すればログインしているユーザーの権限で任意のプログラムコード実行を招く恐れがあるという。同社はセキュリティ情報「MS03-037 (日本語概要)」を公開し、深刻度を最大の「緊急」として速やかな修正プログラムの適用を呼びかけている。

対象となるのは、『Microsoft Visual Basic for Applications SDK』のバージョン 5.0 から 6.3 まで。また該当 VBA を含む、『Word』『Works』『Access』『Excel』『Powerpoint』『Project』『Publisher』『Visio』『Business Solutions Great Plains』『Business Solutions Dynamics』『Business Solutions eEnterprise』『Business Solutions Solomon』といった製品だ。

2件目は Word の脆弱性で、セキュリティ情報「MS03-035 (日本語概要)」を公開し、深刻度を上から2番目の「重要」とした。同脆弱性は、マクロセキュリティモデルを回避することが可能で、警告なしに悪意のあるマクロ実行の恐れがあるという。マクロセキュリティの設定状況を問わず、攻撃者は悪意のマクロを埋め込んだドキュメントを作成し、自動実行を仕掛けることが可能と警告している。

もう1件は『WordPerfect Converter』に存在するバッファオーバーランの脆弱性で、セキュリティ情報「MS03-036 (日本語概要)」を公開し、こちらも深刻度を「重要」とした。Microsoft Office 97/2000/XP の各版をはじめ、『Word』『FrontPage』『Publisher』『Works』など単体製品の一部も脆弱性のある同変換機能を備えている。