マイクロソフトは2010年3月10日、ExcelやWindowsムービーメーカーなどに関するセキュリティ情報を2件公開した。いずれも、最大深刻度(危険度)は上から2番目の「重要」。細工が施されたファイルを開くと、悪質なプログラム(ウイルスなど)を実行される危険性がある。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)の適用。
今回公開されたセキュリティ情報は以下の2件。
(1)[MS10-016]Windowsムービーメーカーの脆弱性により、リモートでコードが実行される (975561)
(2)[MS10-017]Microsoft Office Excelの脆弱性により、リモートでコードが実行される (980150)
(1)は、動画編集ソフトのWindowsムービーメーカーに関するセキュリティ情報。同ソフトには、プロジェクトファイルの処理に脆弱性があることが明らかになった。このため細工が施されたプロジェクトファイルを読み込むと、中に仕込まれたウイルスなどを実行される危険性がある。
ただし、「悪用するにはユーザーの操作が必要」(カスタマーサービス&サポート セキュリティレスポンスチーム セキュリティレスポンスマネージャの小野寺匠氏)。細工が施されたファイルを開こうとすると、Windowsムービーメーカーは、ファイルを開いてもよいかどうかを尋ねる警告ダイアログを表示する。これに対して、「開く」ボタンなどを押してファイルを開いた場合のみ被害に遭うという。
影響を受けるのは、Windowsムービーメーカー 2.1/2.6/6.0。Windowsムービーメーカー 2.1はWindows XPに、Windowsムービーメーカー 6.0はWindows Vistaに標準で含まれる。加えて、PowerPointのアドオンである「Producer 2003」も影響を受ける。Windows Liveムービーメーカーは影響を受けない。
(2)は、Excelに関するセキュリティ情報。ファイルの処理などに問題があるため、細工が施されたファイルを開くと、ウイルスなどを勝手に実行される恐れがある。
ただし(1)と同様に、ファイルを開こうとするだけでは実行されない。ファイルを開こうとすると、Excelは警告ダイアログを表示する。これに対して、ユーザーが「開く」などをクリックした場合に被害に遭う。(1)と(2)のいずれについても、悪用にはユーザーの操作が必要となる。開こうとしただけでは被害に遭わないため、深刻度は最悪の「緊急」ではなく、2番目の「重要」に設定されている。
(2)の影響を受けるのは、Excel 2002/2003/2007、Office 2004 for Mac、Office 2008 for Mac、Open XML File Format Converter for Mac、Excel Viewer、Word/Excel/PowerPoint 2007 ファイル形式用Microsoft Office互換機能パック、Office SharePoint Server 2007。
対策は修正パッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からも修正パッチをダウンロードできる。ただし、Office 2004 for Mac/Office 2008 for Mac用の修正パッチについては、Webサイトからのみ入手可能。
なお、(1)のProducer 2003用パッチだけは準備中で未公開。現時点での回避策は、Producer 2003のアンインストールや、ファイルの関連付けの削除。詳細については、マイクロソフトの情報を参照してほしい。
