マイクロソフトは2002年8月22日,Office 2000/XPなどが搭載するWebページとの連携機能「Office Web Components」に複数のセキュリティ・ホールが存在すると発表した。

 このセキュリティ・ホールが悪用されると,悪意あるユーザー(攻撃者)がOSのコマンドを外部から実行することが可能となる。同社はすでに修正プログラムを公開済み。また,21日に公開した「Office XP Service Pack 2」にも含まれている。

 セキュリティ・ホールが見つかったOffice Web ComponentsはOffice文書をWebページの一部として公開する機能。例えば,ExcelのワークシートをWebページの一部として公開し,Webページの中で各種の集計処理や演算処理,グラフ描画などを実行するといった使い方ができる。

 Office Web Componentsを搭載する前述のソフトウエアのユーザーは,Internet ExplorerでOffice Web Componentsを悪用したWebサイトを表示するか,同様のHTMLメールを受信し,表示した時に,このセキュリティ・ホールを利用した攻撃を受ける可能性がある。

 Office Web ComponentsはActiveXコントロール(ソフトウエア部品)で構成。セキュリティ・ホールはこのActiveXコントロールが実装しているスプレッドシートの「HOST関数」と,ActiveXコントロールを操作するためのメソッドに含まれていた。HOST関数を悪用すれば,攻撃者はユーザーのOfficeアプリケーションを起動することやOSのコマンドを実行することが可能になるという。

 セキュリティ・ホールが含まれているメソッドは「LoadText」,「Copy」,「Paste」の3つ。LoadTextを悪用すると,攻撃者はパスと名前を知っているユーザーの任意のファイルを読み取ることができる。CopyとPasteを悪用した場合,ユーザーがInternet Explorerのセキュリティ設定で「スクリプトによる貼り付け処理の許可」を無効にしていても,ユーザーがコピーまたは切り取ったテキストを攻撃者に読み取られる危険性がある。

 このセキュリティ・ホールが含まれるソフトウエアは,Microsoft BackOffice Server 2000,Microsoft BizTalk Server 2000/2002,Microsoft Commerce Server 2000/2002,Microsoft Internet Security and Acceleration Server 2000,Microsoft Money 2002/2003,Microsoft Office 2000/XP,Microsoft Project 2002,Microsoft Project Server 2002,Microsoft Small Business Server 2000。同社では各ソフトウエアのユーザーへ修正プログラムの適用を強く推奨している。

 なお,Office Web Componentsに含まれるこれらのセキュリティ・ホールは2002年2月~3月に発見され,イスラエルのGreyMagic Softwareが4月に報告していた。。

(武部 健一=BizTech編集)