MS Office/Excelに新たなゼロディ攻撃が確認される 36
ストーリー by yourCat
不審ファイルへのスルー力不足 部門より
不審ファイルへのスルー力不足 部門より
Secunia アドバイザリによると、Microsoft Office Unspecified String Handling Vulnerabilityという脆弱性が報告されている。これはMicrosoft Office (2000/2003各種エディション/XP/2004 for Mac) およびExcel (2000/2002/2003) に存在する未パッチのセキュリティホールで、すでにリモートからの攻撃が限定的ながら確認されているため、Secuniaによる緊急度の評価は5段階の5 (非常に重大:Extremely critical)。マイクロソフト セキュリティ アドバイザリ (932553) では「Excel のみが現在の攻撃の手段であり、他の Office アプリケーションも潜在的に脆弱であることを認識しています」とある。詳細は解析中だ。
最近Microsoft Wordでも未パッチのセキュリティホールを突く、限定的なゼロディ攻撃(Wordでまたまた新たなゼロデイ攻撃、「Wordの5番目のゼロデイ攻撃」、実は既出の脆弱性から派生)が報告されている。
「不審なOfficeファイルは開か(せ)ない」以外に、どのような対策をとれるだろうか。
Windows Live OneCare PC セーフティで攻撃しようとしているマルウェアの駆除はできる。 [追記 2007年2月15日 01:00 JST] MS07-015にて修正された。
Re: 対策 (スコア:0)
Office 2007に移行する。ここのところOfficeの脆弱性が立て続けに報告されてますが、すべてOffice 2007は対象外ですよね。
Re: 対策(オフトピック:-1) (スコア:4, 興味深い)
お願いですから、普通にテキストで書ける内容を Word や Excel のファイルにしてメイルで送ってこないで下さい。特にメイルの本文に、
表記の件につきまして、添付ファイルのように処理をお願いします。
だけしかかかれていないと、それこそゼロディ攻撃と区別つきません。
特に役所系の研究予算の事務方に多いんですよね。
そのくせ、その手の文書処理用の Office をその研究予算で購入することは認めてくれなかったり。面倒だしお金ももったいないので、古い Office を使いつづけているうちとしては、困るなぁ。
Re: 対策(オフトピック:-1) (スコア:1, 興味深い)
そういうのは起案がそのまま流れるからじゃないかなぁ?
で纏めたりして書くと決済されたものとは変わっちゃうから基本的にダメ、と。
同じ課の中でさえ仕事のことでメール出したりするのにも
ちゃんとしたものには文書番号付けたりするからね。
せいぜい本文に同じ内容を書いて、正式にはこっちね、って感じで
同じ内容の添付ファイルがつく、と。
Re: 対策(オフトピック:-1) (スコア:0)
Re: 対策(オフトピック:-1) (スコア:0)
スクリーンショットを見せる目的だけで「Excelにコピペ」をやる人の多いこと多いこと。。。
#退職届叩きつけるにはまだ少々早いのでAC
Re: 対策 (スコア:1, すばらしい洞察)
>この脆弱性は、Office 2007 または Works 2004、2005、2006 で悪用されることはありません。
でもね、2004 for Mac を使っている人には無理なんだよ…
Re: 対策 (スコア:1, おもしろおかしい)
費用対効果の問題 (スコア:1)
せめて2段階か3段階に分けて移行するのが適切かと。
Re: 対策 (スコア:0)
Re: 対策 (スコア:3, 参考になる)
つまり(セキュリティー更新プログラムは)サポート内。
http://support.microsoft.com/lifecycle/?c1=505
リモートの定義 (スコア:0)
攻撃できることを言うのとは違うの?
ファイルを開かなきゃ感染しないタイプで危険度最大とか言ったら
なんか狼少年みたいなことになって、かえって危機感がそがれないかなぁ。
Re:リモートの定義 (スコア:1)
Microsoft:ファイルを開いて発動
どっちかが間違ってるんだろうけど、はたして。
# というかOfficeでリモート攻撃って無理じゃねえのかと思うんだけど
# 待ち受けるサービスみたいなのってあったっけ
Re:リモートの定義 (スコア:0)
2) リモートからの攻撃が可能になる
ってのはよくあるパターンだと思う、たしかにVNCを含めても
リモートからExcel使ってる珍しい奴は見たことないな
Re:リモートの定義 (スコア:0)
> # 待ち受けるサービスみたいなのってあったっけ
IE使ってればブラウザ内で開けるのでHTMLと同様に受動的攻撃が成立しますが、基本的にHTMLとかGIFとかはさすがにどのメーカーも気を付けるようになってだんだん穴が見つからなくなってきたので(それでもこの間Java VMでありましたが)みんなだんだん重箱の隅をつつき始めてきたってことですよ。
Visual Studioのプロジェクトファイルとか、確かに理論上攻撃は可能なんでしょうけど本当に攻撃しかけるやつがいるのか疑わしいタイプのファイルまで出てきましたし。
# ターゲットが開発者という情報まで得られていてスピア型の攻撃を仕掛ける場合は有用なのかも。
Re:リモートの定義 (スコア:3, すばらしい洞察)
それってリモート攻撃の脆弱性じゃないと思うんだ。
RPCの脆弱性みたいなのであれば分かるんだけど。
# OutlookExpressのプレビューで感染しちゃうなら、受動としてもいいか
Re:リモートの定義 (スコア:0)
えーと何か不思議な解釈をされているようですがとりあえず「受動的攻撃」でぐぐってみてください。あなたは主語が被害者じゃなくて攻撃者であることに納得いかないかもしれませんが、そういう用語なのでみんなと違う使い方をするほうが混乱します。
Re:リモートの定義 (スコア:1)
それでやっと、#1104410 [srad.jp]からの誤解が解けた。
これらの言葉は、ユーザ側のアクションが必要かどうかについては、関係ないんだ。
ありがとう。本気で誤解してた。
# ....なんかセキュリティ的な緊急度の高さとは無縁な気がするな、この言葉
Re:リモートの定義 (スコア:0)
と書くと嫌MS房のように思われるかもしれませんが、そうではなく、
利用ユーザ数が圧倒的に多いことと、セキュリティに疎いユーザが
非常に多いこと、社会的に与える影響が大きいことによります。
MS製品は、そんなに悪くないと思いますが、これは売れている製品、
シェアが大きいソフトウェア製品の宿命ですね。
#もしOOoが同じくらい使われていたら、もっと深刻な事態になってる。
Re:リモートの定義 (スコア:0)
もし、MS Office のかわりに OOo が使われてたなら
そもそも Office Suite の進化の方向性は違っていた(セキュリティにかかわるようなバグは少なくなるだろう)と思うので
そういう比較のしかたは個人的には正直どうかと思う
誰が開発の主導権を握っても結果は同じ…ではないと思うよ
Re:リモートの定義 (スコア:0)
>そもそも Office Suite の進化の方向性は違っていた
>(セキュリティにかかわるようなバグは少なくなるだろう)と思うので
OOoがOffice Suiteの開発の主導権を握っていたら、方向性は違っていて
セキュリティに関わるようなバグは少なくなったかもしれないが、
それだと市場には受け入れられない魅力のない単機能になってしまうので
市場ではシェアは取れない。
シェアが取れないので開発の方向性の主導は取れない。
>そういう比較のしかたは個人的には正直どうかと思う
>誰が開発の主導権を握っても結果は同じ?ではないと思うよ
そう、同じではないんですよ。
もっと酷いことになると思う。
開発姿勢が、ユーザの方を向いてやっているのか、ユーザではなく
開発する自分たちの主観でやっているかで全然方向性が違いますね。
Re:リモートの定義 (スコア:0)
> もっと酷いことになると思う。
なぜひどいことになると思うわけ?
> 開発姿勢が、ユーザの方を向いてやっているのか、ユーザではなく
> 開発する自分たちの主観でやっているかで全然方向性が違いますね。
ちょっとちがうな。
OOo は開発者の主観で開発している。
MS は営業の主観で開発している。
どっちもユーザは向いてない。
マスマーケティングが、ユーザ個人に本当の意味で利益があるかどうかなんて考えてるわけねえだろ?
Re:リモートの定義 (スコア:0)
> 考えてるわけねえだろ?
けど、開発者よりは営業の方が、ユーザに利益をもたらすと思うぞ。
開発者は自分が興味ないものは実装しない。
営業は、ユーザに実装しろと言われたものは、自分たちの利益になるなら実装させる。
Re:リモートの定義 (スコア:0)
>
> 開発者は自分が興味ないものは実装しない。
> 営業は、ユーザに実装しろと言われたものは、自分たちの利益になるなら実装させる。
その程度の理由なら、逆のことも言える。
開発者は同時にユーザでもあるので、ユーザとして便利になるものなら自ら進んで実装する。
営業は、便利な機能がわかっていても、自分たちの利益にならないなら実装させない。
ちなみに、システムの構造がシンプルになればなるほどだれでも簡単に開発者になれる。
営業になるのは難しいがw
今更思うのですが (スコア:0)
ものすごく非効率的ですよね。
Re:今更思うのですが (スコア:1)
>ものすごく非効率的ですよね。
ワープロしたいなら、ネットにつながなければいい。
昔、ワープロがネットにつなげるようになってたけど廃れていきましたよね?
その頃使っている人には不要だったのでは?
# ワープロ持ってないのに推測
Re:今更思うのですが (スコア:0)
ある程度複雑なソフトには必ずと言って良いほどバグがあり、
バグがいくつかあれば必ずと言って良いほどクラックできてしまう、
そんな状況の中でアップデートしなくて良いワープロとはどのようなワープロなのかを聞いてみたい。
jpeg 画像を表示するだけでクラックされるとか、
zip アーカイブを解凍するだけでトロイをインストールされるとか、
想像だにしなかった脅威が今後も現れないとは言い切れないというのに。
Re:今更思うのですが (スコア:1)
あと、「新たな脆弱性」という点に関しては、バージョンが上がる度に、
ウィークポイントが増えているように見える。
Re:今更思うのですが (スコア:0)
そりゃそうなんだが、作る側がそれを言っちゃお終めーよ。
件の方はワープロぐらいでバグ出すなってことなんじゃねーの?
Re:今更思うのですが (スコア:0)
しまってバグが多くなって セキュリティホールが出続けるのはどうか?
Re:アップグレードしろと (スコア:0)
Re:アップグレードしろと (スコア:1, すばらしい洞察)
世界を裏から支配するといわれたりする組織の関係者なのでAC
Re:アップグレードしろと (スコア:1, すばらしい洞察)
事実上、陰謀論は否定できないが故ですね。
Re:アップグレードしろと (スコア:0)
Re:たれ込みにミスタイプ (スコア:0, オフトピック)