Microsoft Office の深刻な危険性、相次いで3件明らかに 66
ストーリー by yoosee
やけに一気に出ましたね 部門より
やけに一気に出ましたね 部門より
vn曰く、"Microsoft Office の深刻な危険性が、今月後半だけですでに3件報告されている。
- 6月16日、Excel 修復モードでコード実行という危険性。
- 6月21日、Excel ハイパーリンクでコード実行という危険性。
- 6月23日、Excel の Flash オブジェクトでコード実行という危険性。
俺なら (スコア:2, すばらしい洞察)
・・・っていうのをほんとにみんな実践してるように見える。
脆弱性実証コード公開されました (スコア:2, 参考になる)
悪用コードが出回らないといいですね。
# OOoで編集してExcel Mobileで見るユーザーなのでID
Excel Viewerは? (スコア:1, 興味深い)
Excel Viewerは大丈夫なんだろうか。
普通に考えたら影響なさそうなんだけど、なにせMS製品。
中で共通のモジュールを使っていて、予想もしない所に
セキュリティホールがあってビックリなんてこともあるかも?
Re:Excel Viewerは? (スコア:5, 参考になる)
マイクロソフト セキュリティ アドバイザリ (921365) [microsoft.com]
Excel の脆弱性により、リモートでコードが実行される
ほら、言わんこっちゃない (スコア:1, おもしろおかしい)
Re:ほら、言わんこっちゃない (スコア:3, おもしろおかしい)
Re:ほら、言わんこっちゃない (スコア:2, すばらしい洞察)
Re:ほら、言わんこっちゃない (スコア:1, すばらしい洞察)
Re:ほら、言わんこっちゃない (スコア:1)
意図していないところでインデントされたりされなかったりするのが嫌ですけどね…
Re:ほら、言わんこっちゃない (スコア:0)
ワープロで十分なものもあるけど、表計算で一覧形式に書くのが楽なものも多いから、それらをひとつにまとめるとすればやっぱり表計算ソフトで書くのが一番楽だよなぁ。
#仕様書作成用のソフトがあれば良いのに
えっと・・・ (スコア:1, 興味深い)
Re:えっと・・・ (スコア:1, すばらしい洞察)
#仕様書は他人にみられるのを前提に書くべし
Re:えっと・・・ (スコア:2, おもしろおかしい)
Re:えっと・・・ (スコア:0)
Re:えっと・・・ (スコア:0)
#面倒なのでAC
「安全と思われていて実は危険な15の有名ソフトウェア」(オフトピ-5) (スコア:1, おもしろおかしい)
Re:「安全と思われていて実は危険な15の有名ソフトウェア」(オフトピ-5) (スコア:0)
・え、表の外にあるんです
・当社の調査スポンサーはM(ry
・謎の巨大組織の陰謀です
どれでしょう?
Re:「安全と思われていて実は危険な15の有名ソフトウェア」(オフトピ-5) (スコア:1)
Re:「安全と思われていて実は危険な15の有名ソフトウェア」(オフトピ-5) (スコア:1)
Microsoftはよくやっているよ (スコア:1)
これらの製品ラインを廃止したら、Microsoftはどのように会社を存続できるのだろう?現状の製品のセキュリティ対策のためにも、高収益事業は継続してもらわないと、世界に広まったWindowsの面倒を誰がみるのか不安が残る。
2002年頃ならともかく、現在のMicrosoftはセキュリティの向上に取り組む大手一社のひとつであることは間違いない。ただし売上の大半が今後もセキュリティ向上に費やされるとすれば、Microsoft税の値下げはありえないと思うね。
# OSやOfficeが選べる自由があるのは素晴らしい!
Re:Microsoftはよくやっているよ (スコア:1)
これは不可欠な部分でした。
その前には別の人からの課題提起として、「ソフトウェアについて安全かどうかを
考える必要がないように早くなって欲しい」という趣旨のコメントがありましたので、
そうあるためには、と受けたのです。
Microsoft Office や Windows を廃止することがソフトウェア全般のセキュリティ
向上にとって得策かどうかは別途議論が有り得ることは御指摘の通りです。
Re:そうあるためには? (スコア:1)
Windowsを廃止する必要があるというのですよね?
それが現実的に得策かどうかをわたしは問題にしているのではなく、タイトルにありますように、道具としての安全性を高めるべく努力している現在のMicrosoftの取り組みを評価してあげようよ、ということを言いたかっただけです。
ところで、もしWindowsは危険で、LinuxやMac OS Xが安全だとかIEは危険で、Firefoxは安全だなどと呑気に思われているのでしたら、たとえばわたしの別コメントにある
http://www.milw0rm.org/
を定期的にチェックされるようお薦めします。セキュリティを突かれる可能性は、WindowsだけでなくLinuxやMacにも等しくあることがお分かりいただけるでしょう。
それで道具の安全性を高めるには、道具の危険なところを使用者が把握すればよく、道具そのものをなくす必要はありません。
# OS/2自身のセキュリティを突くデモプログラムを一度見てみたかったID
Re:そうあるためには? (スコア:1)
で、その評価について言うと、こういう尺度で論じられると思います。
Windows XP リリース後に特定・修正されたセキュリティ欠陥が、未知のものを
含む全体の中で占める割合は 0.1%, 1%, それとも 10% か?
私には見当が付きません。まあ 50% には達していないだろうと思います。
恐らく、XP Pro のライフサイクル期間中にパッチリリースの量や質が
目に見えて減少する要因はあまりなくて、もしあるとすれば、Microsoft 自身の
取り組み努力の低下か、研究者または犯罪者等による脆弱性発見努力の低下に
帰せられる程度のものだろうと読んでいます。
Vista については、多数のエディションが販売される予定とのことですから、
セキュリティ対策を最優先にした製品設計とはほど遠いことが行われている
ものと考えています。
私が Microsoft のセキュリティ対策について持っている印象はこんな所です。
決してゼロとは思っていませんが、もっと極端にセキュリティに傾注すれば、
Windows 並びに会社としての将来性は読み易かったのに、と思います。
Re:そうあるためには? (スコア:1)
OSに関してのみいえば、Windows xp SP2リリース以降、「目に見えて減少」しているように感じているのですが、今後手抜きになるという見方を示唆するのは、Vistaの複数のエディションのリリースだけなのでしょうか?
仮に複数のエディションが作られても、モジュールは共通でしょうから、それほど影響はないと思いますけど。
ところで「リリース後に特定・修正されたセキュリティ欠陥」の割合を気にされるならば、Windows XPに比べFirefox 1.0はかなり高いと思われるのですが、修正された欠陥を気にすることに意味があると思われますか?
# だとすれば、eComStationは現行のOSの中でもっともセキュアな環境ということですな(笑
Re:「安全と思われていて実は危険な15の有名ソフトウェア」(オフトピ-5) (スコア:1)
より危険なソフトウェアであると主張するためには、相当の根拠が必要です。
さもなければ、悪口雑言の類に過ぎません。
Re:「安全と思われていて実は危険な15の有名ソフトウェア」(オフトピ-5) (スコア:1)
OpenOffice.org 2.0.2 の方が安全と考えられます。これを覆すためには、何か未公開の
特ダネめいたものを開示しなければなりません。 こんなことだから悪口雑言の類と呼ばれてしまうのです。
Re:「安全と思われていて実は危険な15の有名ソフトウェア」(オフトピ-5) (スコア:1)
そして6月30日の時点では、修正済みの OOo 2.0.3 の安全性の方が遥かに重要だ。 この言い草には失笑を禁じ得ない。
Anonymous Coward だから、前から知っていたなどと嘘を書いても
構わない、などと勘違いしないことだ。
今でもゼロデイアタックを受けている状態のままの Microsoft Office ユーザよりも、
無償の OpenOffice.org 2.x ユーザの方が、手厚いサポートを享受している。
被害者を見たことが無いのだが... (スコア:1, 興味深い)
皆さんの周りにはいらっしゃいますか?いる場合はどのような被害を受けたのでしょうか?
Re:被害者を見たことが無いのだが... (スコア:2, 興味深い)
脆弱性を利用して動くアプリケーションなら見たことがあります。
#セキュリティパッチを当てたら動かなくなったと大騒ぎ。
#ある意味、脆弱性の被害者なのかもしれない。
----- 傷の治療は傷より痛い -----
Re:被害者を見たことが無いのだが... (スコア:2)
マイクロソフト セキュリティ アドバイザリ [microsoft.com]も見てね。
Re:被害者を見たことが無いのだが... (スコア:1)
既知の仕様か未知の脆弱性かの判別は難しいと思います。
エラーが出たらCtrl+Alt+DeleteでOfficeを終了。解決しなければ再起動。
それで直れば「なーんだ、Windowsが不安定だったせいか」と納得。
そして質問者には「Office? 特に問題なく使えてるよ」と回答。
さすがに同じエラーが頻発すればMS-Officeも疑うでしょうが、他の環境で
再現できなければ自分の環境が悪いと思い、OSごと再インストール。
そして検証やSR/SP適用の間もなく、PCやOSと一緒にMS-Officeも刷新・・・。
今回はVista & Office2007のリリースが遅れ、XP & Office2003から間が
空いたことが、相次ぐ危険性発見の遠因になったように思います。
匠気だけでは商機なく、正気なだけでは勝機なし。
Re:被害者を見たことが無いのだが... (スコア:2, 興味深い)
被害という程のことではありませんが、「もしやこれがそうでは!?」という
問合があり、調査と説明に時間を取られることが時々あります。
最近多いのはWord旧版で作成した文書をWord2003で開くと「壊れている」 [microsoft.com]
警告を出す現象ですね。MSは「仕様」と説明していますが。
あと、たまに来るのはLotus1-2-3等でシート名を「履歴」にするとExcelで
開けなくなる現象。(Excel上ではシート名を「履歴」にできません。)
匠気だけでは商機なく、正気なだけでは勝機なし。
回避策はあります (スコア:0)
Re:回避策はあります (スコア:2, 参考になる)
なぜベンダーからのセキュリティ勧告には記載がないのでしょうか?
Re:回避策はあります (スコア:2, 興味深い)
ファイルだけが問題の対象では無いでしょ。
完全に効果がある方法はExcelアンインストールだろうけど。
それが現実的な案で無い場合は、怪しい添付ファイルを開かないと言うのが正しい回避策だと
思うが?
正直、この問題に対してOOoで開けば安心だと主張するようなベンダがいたら見識を疑いたくなる。
まあ、OOoで開けるファイルが添付されてきたなら、OOoで開いてみるのも効果あるだろうけど。
# ところで、OOoのCalcってOLEオブジェクトとして埋め込まれたEXCELを表示する事って出来るの?
Re:回避策はあります (スコア:2, すばらしい洞察)
そもそも Microsoft が決めてしまって良い問題ではありません。
Re:回避策はあります (スコア:0)
>そもそも Microsoft が決めてしまって良い問題ではありません。
まあそりゃ、そうですね。
もっとも、ベンダからのアドバイザリというのは製品を使っている顧客に対してのアドバイスです。
顧客が求めるのは製品を安全に利用する事ですから、この場合Microsoftにアンインストールの推奨を
求めるのは筋違いですよ。
当事者からのアドバイザリがアンインストールしろでは無責任過ぎますし顧客には全く役に立ちませんので。
# 第三者のセキュリティ関連企業が言う分には良いとは思いますけど。
影響範囲のアプリケーションは明示されてるんで、顧客で在ることをやめるというのであれば
ユーザの判断でアンインストールのも良いでしょう。
ただし顧客で有り続けるかどうかというのは、それこそユーザが決める事であってMicrosoft が
決めてしまって良い問題ではありませんよ。
Re:回避策はあります (スコア:1, 興味深い)
当然できるでしょうね。他人事じゃないです。
アドバイザリに載せるとすればこんな感じで。
# つーか、Excel VBAのPtoPマクロなら探せば出てくるでしょう。
Re:回避策はあります (スコア:1, すばらしい洞察)
厳密に言えば間違いではないが、「Excel専用PCを作れ」なんてアドバイザリを公報したところで、ほとんどのユーザにとっては守れるものではないため、何のために公報するのかわかりません。
実行不可能なアドバイザリを公報することは、「一応アドバイザリはしましたよ」というアリバイ作りには使えても、果たして被害を最小に抑える効果があるかどうか。
Re:回避策はあります (スコア:0)
ExcelをWinnyなぞに見立てたネタですので、本気で専用PCを立てたいわけではないです。
ツリー全体がネタと思ってたのでそのつもりで読んでください。面白くなくてごめんなさい。
# だって、OOoがExcelの代わりになるなんてネタ以外ありえませんし。
# でも、いくつかのコメントが参考になるとかモデされてるので、マジにとる人がいたってことですよね…orz
# 下手なネタで悔やむAC
はーい先生 (スコア:1)
全部、おおおがいいでしょうか~?
Re:はーい先生 (スコア:1, おもしろおかしい)
( ^ω^)おっおっおっ
っぽくていやだ
Re:回避策はあります (スコア:0)
40000行ぐらいの実験集計データ開いたら相当待たされました。
Re:回避策はあります (スコア:0)
おかしくなったら、まだベータ版ってことで…。
Re:回避策はあります (スコア:0)
Re:回避策はあります (スコア:0)
Re:回避策はあります (スコア:2, すばらしい洞察)
くっついている事自体がオカシイような。
VBAやOOBasicのメリットは分かるし、
面白くて使ってる機能なのは認める。
だけど、スプレッドシートやワードプロセッサを
必要とするシーンで、常時使ってないし。
マクロ言語の利便性を享受するひきかえに、
あまりに大きなセキュリティリスクを
背負い込んでるような気がするんだが。
Re:有効性を疑う... (スコア:3, すばらしい洞察)
~のソフトはダメだとか言うのが出てくるけど、
自分は逆だと思うんですよね。
脆弱性が見つかる=ユーザー数が多く現場で叩かれてる
と言う見方も出来るんで。
脆弱性が発覚すれば、パッチ当てれば済むだけの話。
マイナーなソフトはさほど叩かれていない分、
実は潜在バグが多い可能性も十分に考えられます。
定期的なパッチ当てを怠れば、
MS製だろうがオプソだろうが危険なのは一緒です。
Re:有効性を疑う... (スコア:2, おもしろおかしい)
#ダメって言われても使うけど
Re:有効性を疑う... (スコア:1)
命懸けで人柱になるスラド読者の方々ですから、Windowsを使って、日々脆弱性の洗い出しに励んでいるでしょう。
#賢明な人なら、他のOSを使っているかもしれないが・・