> >

背景

技術的なことで特に説明することはありませんが、Excel に対して 0-day アタックがされています。

Mac 用の Microsoft Office の現在の最新版 Microsoft Office 2004 for Mac です。Microsoft Office X for Mac は Microsoft Office 2001 for Mac とは異なりサポート終了とは謳われていないようです。しかし、今回のアドバイザリに入っていないのは影響を受けないからなのか、アップデート対象となっていないからなのかはよくわかりません。アップデート対象ではないからのような気がします。

内容

技術的なことで特に説明することはありませんが、不正な形式の文字列を仕込んだ Microsoft Office 文書によってメモリ内容の破壊が引き起こされるそうです。

影響

この結果、その文書を開いた Microsoft Office 製品がクラッシュしたり任意のコードが実行される恐れがあります。コードというのはプログラムまたはその断片です。

対象

同アドバイザリは次の製品を対象としています。

• Office 2000
• Office XP
• Office 2003
• Office 2004 for Mac

既に述べたように Microsoft Office X for Mac はアドバイザリの対象には含まれていませんが、それがこの脆弱性の影響を受けないからという根拠は全くありません。むしろ、上記 Office シリーズの発売期間中に Microsoft Office X for Mac も発売されているので影響を受けると考えた方がよいと思います。

対応

同アドバイザリでは 信頼できない、または信頼できるソースから予期せず受け取ったOfficeファイルを開いたり、保存したりしない のが回避策だと述べています。現時点でパッチが出ていないからです。

見知らぬところから送られてきた、あるいは取得してきた Office 文書を開かないのは当然ですが信頼できるところからも突然 Office 文書を送ってきたときは用心すべきというところがよいですね。信頼できないものにはそういうのも含まれます。

逆に言うと、Office 文書のようによく攻略ファイルが出回るものをメールで添付して送るときは、実際に送る前に「これから送りますよ」というメールを一通出しておくのが相手への配慮だと言うことです。