アカウント名:
パスワード:
もうサポート終了してる [nikkeibp.co.jp]から、個人が自己責任で使うのはともかく、会社で大っぴらに使うのはさすがにどうかと思う。
とはいえ、我が家もOffice2000までしか買ってない訳だが。
VBA が実行できるものは Win32 API を叩けることになるわけで、なんでもサーバーとしての動作などを仕込むことも可能ですね。 Excel VBA で DirectX を利用してゲームを作ってしまうような人もいるのですし。
その辺りのためにも、2007 以降は拡張子レベルで .xlsx (マクロのない Excel ドキュメント) と .xlsm (マクロが有効な Excel ドキュメント) などのように分離し、その上で .xls や .xlsm などの場合、セキュリティー設定上許可されたフォルダ以外からはマクロを自動実行しない等の変更が入っています。
Officeに伴ってインストールされるActiveXコンポーネントはIEから呼び出し可能です。従ってインターネット経由でOfficeの脆弱性が攻撃される可能性があります。
たとえば、「Microsoft Office Web コンポーネントのスプレッドシート ActiveX コントロールに脆弱性」 [jvn.jp]など。
脆弱性のあるOfficeがインストールされたマシンでIEを使うのは危険です。
> 2009年7月17日現在、対策方法はありません。まー日付は書いてあるけどさー。MS09-043 [microsoft.com]がとっくに出てるのに更新しないってどうなの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
Office2000はダメだろ (スコア:1, 興味深い)
もうサポート終了してる [nikkeibp.co.jp]から、個人が自己責任で使うのはともかく、会社で大っぴらに使うのはさすがにどうかと思う。
とはいえ、我が家もOffice2000までしか買ってない訳だが。
Re:Office2000はダメだろ (スコア:1)
もし、そうでなければアンチウィルスソフトが文書ファイルをスキャンしてくれればOffice 本体の脆弱性はあまり問題にならない気がします。
あれ、Excell と Access はサーバとして動作するか... それでもイントラだったらNT4を使い続ける位には安全な気がするけど甘い?
Re:Office2000はダメだろ (スコア:2, 参考になる)
VBA が実行できるものは Win32 API を叩けることになるわけで、なんでもサーバーとしての動作などを仕込むことも可能ですね。
Excel VBA で DirectX を利用してゲームを作ってしまうような人もいるのですし。
その辺りのためにも、2007 以降は拡張子レベルで .xlsx (マクロのない Excel ドキュメント) と .xlsm (マクロが有効な Excel ドキュメント) などのように分離し、その上で .xls や .xlsm などの場合、セキュリティー設定上許可されたフォルダ以外からはマクロを自動実行しない等の変更が入っています。
Re:Office2000はダメだろ (スコア:1)
> ダウンロードしたり、サーバになったりしますか?
> もし、そうでなければアンチウィルスソフトが文書ファイルを
> スキャンしてくれればOffice 本体の脆弱性はあまり問題にならない気がします。
ここらへんがセキュリティ脆弱性に関する意識の差なのかも。
アンチウイルスによるデータ対策(ファイルやネットワーク)と
セキュリティパッチ等のプロダクト対策、どちらかが欠けると
未知の脅威にさらされることになり問題視されます。
# セキュリティは原則的に「一番薄い部分が実際のレベル」です
なお、「直接外部公開してないからへっちゃら」的な意見も聞き
ますが、内部感染からの二次被害を考えると最低限の対処はして
おくべきかと。
---- 何ぃ!ザシャー
Re:Office2000はダメだろ (スコア:1, 参考になる)
Officeに伴ってインストールされるActiveXコンポーネントはIEから呼び出し可能です。
従ってインターネット経由でOfficeの脆弱性が攻撃される可能性があります。
たとえば、「Microsoft Office Web コンポーネントのスプレッドシート ActiveX コントロールに脆弱性」 [jvn.jp]など。
脆弱性のあるOfficeがインストールされたマシンでIEを使うのは危険です。
Re: (スコア:0)
> 2009年7月17日現在、対策方法はありません。
まー日付は書いてあるけどさー。MS09-043 [microsoft.com]がとっくに出てるのに更新しないってどうなの?
Re: (スコア:0)
手動でOffice 2000から開かなくても、ブラウザ経由で開いたりUSBストレージ経由でコピーされたウィルス入りファイルを開けば同じことでしょう。
たとえばIEでリンクをクリックしたとき、長い長いリンク文字列の先がxlsファイルだったらどうします?
あるいはオートリダイレクトでxlsファイルに転送されることだって起こりうるんですよ。
Excelがサーバーにならなくても心配はいらないです。悪意あるコードであればちゃんと別プロセスとして常駐します。それがサーバーとして機