マイクロソフトがOffice 2000のセキュリティパッチをリリース
ヘルプファイルのデモを見るActiveXコントロールが原因

2000/5/20

 マイクロソフトは5月20日、同社のOffice 2000ファミリー製品のセキュリティアップデートを公開した。該当製品は以下の製品に該当するもの。

  • Microsoft Office 2000
  • Microsoft Word 2000
  • Microsoft Excel 2000
  • Microsoft PowerPoint 2000
  • Microsoft Access 2000
  • Microsoft PhotoDraw 2000
  • Microsoft PhotoDraw 2000 Version 2
  • Microsoft FrontPage 2000
  • Microsoft Publisher 2000
  • Microsoft Outlook 2000
  • Microsoft Works Suite 2000

 今回問題になったセキュリティホールは、Office 2000のヘルプ機能の中で使われている「Office 2000 UA Control」ActiveXコントロー ルが持っていたもの。このコントロールはOffice 2000から採用されており、ヘルプの中で操作方法をユーザーに見せるためのデモンストレーション機能などを実現している。

 同社の報告によると、このActiveXコントロー ルは、不適切に「スクリプトに対して安全」とマークされており、そのために悪意のあるWebオペレーターは、Webサイトを訪 れたユーザーのマシンにインストールされているOfficeの機能を勝手に実行できるという。

 また、悪意あるWebサイトにユーザーが訪問しなくとも、このセキュリティホールを利用したHTMLメールをOutlookで受け取ることでも、Officeの機能が実行されてしまう可能性もある。

 今回のセキュリティアップデートを適用すると、Office ヘルプの[ここをクリック!]機能と、「ポップアップ」機能が使用できなくなる。

[関連リンク]
Microsoft Office 2000 および Office 2000 ファミリー製品関する脆弱性に関する修正プログラムを公開

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -