PR

 マイクロソフトは2008年3月14日、同社が3月12日に公開したセキュリティ更新プログラム(修正パッチ)を適用すると、問題が発生する場合があることを明らかにした。最新の修正パッチを適用したExcel 2003では、特定の条件下において、計算を間違える可能性があるという。この問題を修正するパッチなどは未公表。

 同社は3月12日、ExcelやOutookなどに関するセキュリティ情報を4件公開した。そのうちの1件である「[MS08-014]Microsoft Excelの脆弱性により、リモートでコードが実行される (949029)」は、Excelに関するセキュリティ情報。Excelに見つかった脆弱性が7件含まれている。

 いずれも、細工が施されたExcel文書ファイルを読み込むだけで、中に仕込まれたウイルスなどを実行される危険な脆弱性である。実際、そのうち一つを悪用するウイルスが、2008年1月に出現。2008年3月初めには、北京オリンピックのスケジュール表などに見せかけた別のウイルスも確認されている。

 この「MS08-014」のパッチに、今回問題が見つかった。このパッチを適用したExcel 2003 SP2/SP3では、誤った計算結果が返される可能性があるという。ただし、計算ミスが発生する条件は限られている。具体的には、以下の2点を満たす場合のみ発生する。

・Visual Basic for Applications(いわゆるマクロ)から、リアルタイムデータ(RTD)ソースを使っている
・RTDを使った、ある程度複雑なクエリを処理している

 マクロを使っていない場合や、マクロ中のVBAの関数でRTDソースを使っていない場合には影響を受けない。このため、ユーザーの多くは影響を受けない可能性が高いと考えられる。また、影響を受けるのはExcel 2003のみ。これ以外のバージョンは影響を受けない。

 この問題について、マイクロソフトでは現在調査中であるとしている。米マイクロソフトの公式ブログによれば、同社はこの問題の修正パッチを検証中で、検証が終了次第、リリースする予定であるという。