パスワードを忘れた? アカウント作成
229638 story
セキュリティ

Office XPに含まれる脆弱性、「訂正不可能」なため放置 76

ストーリー by hylom
Difficult-to-cure 部門より

あるAnonymous Coward 曰く、

MicrosoftはOffice XP/2003/2007で発見された、「重要」とされる脆弱性「MS10-036」について、Office XPに対しては修正パッチをリリースしないそうだ。理由は「Office XPの非常に多くの部分を再度設計し直す必要がある」ため、「修正プログラムを開発することは不可能」だからだそうだ(japan.internet.comの記事)。なお、Office XPはまだ延長サポート期間中であるため、これ以外の脆弱性に関する対策パッチについては基本的にはリリースされている。

脆弱性の修正を諦めるということが許されるのだろうか、また似たような例を知っていたら教えていただきたい。

なお、この脆弱性は4段階の深刻度の基準のうち上から2番目(もっとも深刻なのは「緊急」)であるとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • おふとぴ (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2010年06月16日 17時04分 (#1781006)

    >基本敵にはリリースされている。
    味方にはリリースされないのですか?

    • Re:おふとぴ (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2010年06月16日 17時14分 (#1781008)

      何らかのトラップが仕掛けられているんですかねぇ

      #ってMSの敵・味方って誰だろう?

      親コメント
      • Re:おふとぴ (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2010年06月16日 18時26分 (#1781065)
        味方:金を払うお客様
        敵:金を払わない輩

        未だにXPとか使っているのは基本敵だけど
        仕方ないのでパッチを配布していますよ。。と

        # いや、うちも使ってるけど・・
        親コメント
    • Re: (スコア:0, オフトピック)

      すいません、修正しました。ご指摘ありがとうございます。

  • 似たような例 (スコア:4, 参考になる)

    by chokkan (40227) on 2010年06月16日 17時50分 (#1781042)

    Windows NT 4.0のときにありました。
    http://www.microsoft.com/japan/technet/security/bulletin/MS03-010.mspx [microsoft.com]

    よく寄せられる質問
    マイクロソフトが Windows NT 4.0 用の更新プログラムを提供していないのはなぜですか?

    <略>Windows NT 4.0 と Windows 2000 およびそれ以降のバージョンとの根本的な違いにより、この脆弱性を排除するために Windows NT 4.0 用のソフトウェアを再度作成することができません。Windows NT 4.0 用のソフトウェアを再度作成するためには、影響を受ける RPC コンポーネントのみでなく、Windows NT 4.0 オペレーティング システムの大部分を設計し直す必要があります。<略>

    ほかにも1~2例あったと記憶していますが、すぐには見つけられませんでした。

  • かと愚考する次第です。購入者に瑕疵はないのですから。

    # 又は、この脆弱性が原因でないとMSが証明できない全ての顧客側の被害補償要求に対して無限責任を負う、でも良いとは思いますが。恐らく非現実的。

    ## [microsoft.com]
    • by Anonymous Coward on 2010年06月16日 17時27分 (#1781027)
      COMとかいうのが脆弱性をもたらすのだったら、COMの機能だかサービスを停止するパッチを配布してほしい (少なくとも個人レベルではそんな機能使うことは無いだろう)
      親コメント
    • by Anonymous Coward on 2010年06月16日 17時27分 (#1781028)

      本気で代替 Office suite を検討したらいいです。
      Just Suite とかどうでしょう?

      OpenOffice.orgももう十分OfficeXP以上のものになってると思うんだけどなぁ...
      少なくともクセを分かって使えばですが。

      # Mozilla FirefoxにしろOpenOffice.orgにしろ、
      # 早いうちに出てきたFOSSものは「Microsoft互換」に縛られ過ぎていると思う。

      親コメント
      • by Anonymous Coward on 2010年06月17日 3時00分 (#1781280)

        手元にexcel2003のxml形式ファイルがあるのだが、これをMS-Excelで開くとOfficeの起動含めて1分(1分ってものすごく重いと思う)
        ところがOpenOffice3.xで開くとそんなものじゃない、1時間近くかかる。
        で、それってどんなバカなデータだと思うかもしれないけど、単に複数シートにまたがる参照がいっぱいあるだけ。
        身の回りの大きめのExcel文書はこの手のが多い自分にとってOpenOfficeはまだまだ精進しないと代替えにはできない。(ODFでセーブしなおしてもダメって事はOpenOfficeに不向きなんだろうけど)

        #似た事例の人いないかな~?

        親コメント
    • Re: (スコア:0, オフトピック)

      XPSP4(非公開版が存在するか?だったらSP5以降ですか)/Vista/Win7を想定しているのなら否定的見解を持っています。
      Microsoft Windows以外の何かというのも同様に。XP jumbo patch(仮称)は作れないと言っているからこれもないですね。
      表ストーリーのW2Kから踏み出せない人たちや、XP(sp2)を使い倒す法人ユーザたちは(本人たちに見る目がないからではあるけど)
      より安全な代替ソフトウェアを提供されても移行しないであろうことが確実視できます。
      つまり移項を拒み続ける人への手段としては何のメリットもないのでより安全な代替ソフトウェアは合意できる解決策にならないであろう。

      HKCR/Hcpのレジストリをエクスポート退避させた後でキーを抹消するパッチを配ってお茶を濁す(でも本件の脆弱性は対処済にできる)
      という一部機能を犠牲にするのが痛み分けとしては最も低コストで妥協できる対策になるのではないでしょうか。
    • by Anonymous Coward

      >ならば、より安全な代替ソフトウェアを無償で提供するべき

      これも非現実的ですな。
      (実害の)影響の度合いにもよりますが、業務システムであれば
      「運用で回避」ってのも良く有ります。

    • by Anonymous Coward

      つーかね、XPが駄目なら2003を無償提供ってのは有りだと思うですよ。
      2003は販売が終わっている(筈な)のだからMSとしても大して痛くない筈。
      2003ならUIは殆ど変わってないから通常の操作は問題ないでしょう。
      問題はマクロ(てかVBA)とかでどんな問題が起こるかだけどね。

      • by Anonymous Coward

        2003ならUIは殆ど変わってないから

        2003だったらみんな喜んで飛びついちゃうから、(リボン普及も兼ねて)

        - 2010アップグレード権のない2007を配るか
        - 安い2010優待アップグレードプログラムを用意するか

        かなぁ

  • by flied onion (36971) on 2010年06月16日 17時43分 (#1781037) 日記
    XPはFixitで一応対処される。
    Vistaは(2006年時点で)そもそも動作保証外
    Windows2000は延長サポートあと1ヶ月(こじつけだけど、パッチができあがるころには延長サポート終わってる可能性もある)

    置いてけぼりはWindows2003? 2003R2でも動くのかな、Office XP。
    --
    # yes, fly. no, fry.
  • by Anonymous Coward on 2010年06月16日 18時02分 (#1781049)

    >G. 無保証
    >保証は規定しません。マイクロソフトは、債務不履行、瑕疵担保、不法行為その他請求の性質を
    >問わず、本ソフトウェアの品質に関して本品質保証規定に定める以外にはいかなる責任も負いません。
    マイクロソフト ソフトウェア使用許諾契約書より

    ちょっとなら直すけど、修正規模が大きすぎて直せないって普通の判断だと思いますが。
    なんか大きな企業に求めすぎな人大杉。

    • by Anonymous Coward on 2010年06月16日 23時54分 (#1781237)

      これはソフトウェア業界にも責任の一端があると思う。

      そもそも、ある一定以上の規模のソフトウェアというものは、どうしても完全にバグフリーということはありえないし、納品時点では問題なくても将来に渡って安全とは言いきれない。そういう事実が、厳然としてある。
      しかし、売るときは、さも「完全な製品であり、サポートも充実」と謳って消費者に買わせる。
      そして、売っておいてから、いざ問題が出てくれば「ソフトウェアというのはそういうものです」と諭す。開発元がそういわなくても、「PCに詳しい人」が代弁してくれちゃう。

      これって、アンフェアじゃないかなーと思ったりする。

      売るときに、サポートの期限を明確に区切ったり、重大なバグが潜在的に存在し、場合によっては修正が出来ない(新バージョンを購入する方法しかない)ことを、購買者に伝える義務があると思うのだが。
      もちろん、そうすることで買わない客も増えるだろうが、よく知らない素人を騙して買わせるようなマネはどうかな、と常々思ってた。
      買う前のことなので、EULAに書いてあるから良い、という問題じゃない。

      親コメント
      • >しかし、売るときは、さも「完全な製品であり、サポートも充実」と謳って消費者に買わせる。
        それはMSも率先してやってきた企業の一つではないのですか?
        ここでもしMSがそういう主張をしたのなら、「加害者のくせに被害者ぶるな」と言う所だよ。

        >:MSだからキツく言う人が多いみたいだが…
        それにバグが修正できるかどうかは、技術的以上に経済的な事情である場合が多い。
        売れてないソフトだと修正しようにも修正する予算がない。しかしMS-Officeで
        予算がないから修正できないなどということはあるまい。
        #「巨大なスパゲティプログラムだから修正費用も天文学的数字になる」という
        #可能性もあるが、たとえそうでもスパゲティプログラムを作ったのもMSの責任だよ。

        だから新しいOfficeをムリヤリ買わせるための計画的陳腐化だと揶揄されるのは当然。
        もしこれが「Offie 2007に修正不可能なバグが出たので、これからはOffice2003を買ってください」
        というニュースだったら、ユーザーは一体どう思うことだろう?

        親コメント
  • by nekurai (6253) on 2010年06月16日 17時21分 (#1781018) 日記
  • Fix it (スコア:1, 興味深い)

    by Anonymous Coward on 2010年06月16日 17時23分 (#1781025)

    http://support.microsoft.com/kb/983235 [microsoft.com]
    Windows XP + Office XP 向けのFix itは提供されてるんですけどね。

  • そんなに違うの? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2010年06月16日 19時09分 (#1781087)
    offce 2003はすぐに直るのか office XP(2002)とoffice 2003って、XPだけ修復不可能なくらいに違うの?
  • by Tuatha D Danaan (32722) on 2010年06月16日 19時31分 (#1781101)

    発注書の数字をファイルを閉じる直前に書き換えられたら、割と簡単に人生踏み外さない?

    --
    #訴訟しても、脆弱性を攻撃するようなプログラムの侵入を許したユーザーが悪い。で終わりそうで怖い

    • by Anonymous Coward

      発注書の桁上がったら承認レベル上がるから自分の首自分で飛ばすのも結構難しいんじゃ?

      #緊縮財政で10万円から工場長決済がないと注文出せないから直材一つ買うにも週イチの会議で説明してる

  • 心配しなくていいとまでは書いてないけど、記事を読んだ印象じゃ『攻撃の可能性が少ない』から大丈夫だよって 大手のニュースサイトさんが言ってるんでそんなに気にする必要はない話じゃないんでしょうか?

    以下抜粋

    「Office XP ユーザーにとって幸運だったのは、この認証技術における脆弱性は、Microsoft の深刻度の基準において、4段階のうち上から2番目の「重要」であるという点だ。これは悪意のあるクラッカーによる攻撃の可能性が少ないことを意味する。」

    6月11日のYAHOO!Japanニュースから 記事名「Microsoft、『Office XP』のバグを「訂正不可能」として修正せず」 より

    • そんな事はない。
      確かに「セキュリティソフトを導入していて」「該当プロダクトが本脆弱性を悪用する際の攻略法を原理面から検出可能」であるなら比較的大丈夫でしょう。
      ですが今回は、ファイルを開いたらコードが実行される系なので悪用するウィルスの発生等で今後脅威度が上がる可能性は十分有り得ます。

      ただし、どれだけのユーザーが未だにOffice XPを使用しているかによると思いますが・・・
      # あと1時間もしたらOffice2010が一般発売開始されるしね。

      親コメント
    • by Anonymous Coward
      >心配しなくていいと書いてあった (スコア:1)
      >pengin_shinbun (36276) : 2010年06月16日 19時35分 (#1781104)
      >心配しなくていいとまでは書いてないけど、

      書いてないのかよ!うそつき。
  • 決してMSシンパではないですが。
    直すためのコードをたくさん追加したらそこにエンバグってのは
    いままでのMS製品でも他社製品でもよくあった話。
    緊急度が低いのならやむを得ない。

    だいたい、KBに載っていて未修正のバグだって、
    Bugtraqとかに報告されていてMSのコメントのない脆弱性だって
    他にもいろいろあるんだから、この問題だけ取り上げて
    MSけしからんって話には違和感を感じる。
  • by Anonymous Coward on 2010年06月16日 17時21分 (#1781015)
    WindowsXP&officeユーザなんで、やばっと思ったけど、officeは2003にVerUPしていた。
    MicrosoftUpdateを待ちます。
  • by Anonymous Coward on 2010年06月16日 17時21分 (#1781016)
    サイバーノーガード戦法を実戦投入ですね
  • by Anonymous Coward on 2010年06月16日 17時21分 (#1781019)
    もしも自分の作ったコードだったら、「工数にみあう、十分なお金を頂けるならば作り直します」としか、客には言えないな。
  • by Anonymous Coward on 2010年06月16日 17時22分 (#1781021)

    サポートが手厚いというわけではないという例に使われそうな事例を作るとは思えない。
    あとから「やっぱり修正します」ってなるんじゃないだろうか。
    じゃないと商売の屋台骨から崩れてしまいそうな。

    • by nomnom (26419) on 2010年06月16日 18時05分 (#1781053) 日記

      それは、「Office XP のユーザが依然として多い」という前提があってはじめて成り立つと思います。

      ひとつの指標として、http://www.xpnet.com/charts.htm [xpnet.com] の「Office Suite Share」によれば、海外では Office 2007 への移行がかなり進んだようで、Office 2003 が続きます。
      Office XP は、2000 とあわせてもわずかしかありません。
      これは当該サイトが提供しているツールによる集計だそうなので、ほかの調査はまた違うかもしれません。しかし傾向としては同じであれば、第三者から見ても、Office XP をサポートし続ける意義がどれだけあるか疑問です。

      日本では傾向が違って、Office XP 以前を使い続けるユーザが無視できない比率なのかもしれません。確認できる資料は見つけられませんでした。

      親コメント
  • by Anonymous Coward on 2010年06月16日 17時23分 (#1781024)
    T/O
  • by Anonymous Coward on 2010年06月16日 18時04分 (#1781051)
    mixiで、画像を他のところから閲覧できちゃうって話があったような。
    で、対応できませんでしたって。
  • by Anonymous Coward on 2010年06月16日 18時23分 (#1781063)

    8年前3世代前の製品ですからね。
    他の会社に比べれば、長いもんでしょ。

    • Re:まぁ、 (スコア:1, 参考になる)

      by Anonymous Coward on 2010年06月16日 20時43分 (#1781133)
      高くても10年使えるからと思って買ったのに・・という(人|企業)もいるでしょうにね

      http://www.microsoft.com/japan/office/previous/2003/business/lifecycle.mspx
      親コメント
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...