fcpの日記: Excel の未修正の脆弱性を突く攻撃が観測される 28
日記 by
fcp
Excel の未修正の脆弱性を突く攻撃が観測されている。攻撃が成功するとユーザーのアカウントでコードが実行される。
マイクロソフトのアドバイザリ 968272 によると、この脆弱性は Excel 2000/2002/2003/2007 と Mac 版 Office 2004/2008 等に存在する。シマンテック社のブログによると、この脆弱性は .xls 形式のファイルを開く場合に発生し、新しい .xlsx 形式のファイルを開く際には発生しない。
マイクロソフトのアドバイザリでは推奨する対策として Office ファイルを不用意に開かないこと以外に Microsoft Office Isolated Conversion Environment (MOICE) やファイルブロック機能を利用することを挙げている。詳細はマイクロソフトのアドバイザリを参照のこと。タレコミ人は MOICE とファイルブロックというのを初めて聞いたのだが、 Office 2003/2007 に追加してインストールすることで使えるようになる機能のようだ。
関連ページ: セキュリティホール memo、 SecurityFocus、 Slashdot 本家。
しまった!これは罠だ! (スコア:3, おもしろおかしい)
.xlsxが使える製品を買わせるためのMSの罠だ!
Re:しまった!これは罠だ! (スコア:1, すばらしい洞察)
いや、そういってる人は大概Office95/97あたりから買ってないから問題無いでしょ。
#バンドル版のWord/Excelは新しいのにPowerpointとAccessだけいつまでも古いとかよくある
社長! (スコア:3, おもしろおかしい)
今日はもう帰っていいですか♪?
Re:社長! (スコア:1, おもしろおかしい)
まぁいいだろう。有給を取っていいよ。
その代り明日20時間働いて今日の分も仕事するんだぞ。
残業は出ないからな。
Re:社長! (スコア:1, おもしろおかしい)
Re:社長! (スコア:1)
コクヨなんかの計算用紙とか集計用紙じゃだめかな?
...高いか。
Re:社長! (スコア:3, おもしろおかしい)
Re:社長! (スコア:1)
Excelをお絵かきツールの方眼紙代わりに使うのは止めてくれと、あれほど・・・
Re:社長! (スコア:2, 興味深い)
だが、ここまでされたら許してやって欲しい
【輪郭抽出】Excelでアイドルマスター【文字認識】 [nicovideo.jp]
アカウント持ってない人用 [hatena.ne.jp]
Re: (スコア:0)
同意する。
Excelは、ネットワーク図やポート結線表を作るためのツールだ。
Re:社長! (スコア:1)
懐かしい名前を聞いたな...それは俺のおごりだ.
じゃなくて.
グラフ用紙ということで,部屋の本棚につっこんであるグラフ用紙群を再チェックしてみました.
・A4片対数グラフ用紙(4cycles)
・A4片対数グラフ用紙(8cycles)
・A4両対数グラフ用紙(8x6cycles)
・A4方眼紙(1mm)x2セット
・B5方眼紙(1mm) x1セット
・・・もう使うことは無いだろうなぁ.
そうじゃないだろう!
Re:社長! (スコア:1, おもしろおかしい)
Excel のため本日から1週間学級閉鎖します
ブチョー
Re: (スコア:0)
Office だけ? (スコア:2, すばらしい洞察)
その細工されたファイル、OOo や iWork とかで開いても危険なのかな?
Re: (スコア:0)
ブラウザで開くと感染する、ってどのブラウザかあんまり書いてないとか。
Re:Office だけ? (スコア:1, 参考になる)
> ブラウザで開くと感染する、ってどのブラウザかあんまり書いてないとか。
本質的にブラウザが対象じゃないからですよ。
ダウンロードしてからダブルクリックするとか、CDに焼いてautorun書いても同じ
今回に関しては、MSのアドバイザリなんだから他所の製品に言及する責任は無いでしょう
脆弱性を突く攻撃 (スコア:1)
>特別な細工がされたExcelファイルをユーザーが開くことでそのユーザーの権限でコードが実行される可能性がある
退職金の額を変更する権限を持った人事部長が……
http://srad.jp/comments.pl?sid=440547&cid=1519959 [srad.jp]
1を聞いて0を知れ!
Re:脆弱性を突く攻撃 (スコア:3, 参考になる)
(いや、そういうこともできるんでしょうが)
Windows上でそのユーザーの権限の範囲でなんでもできちゃうってことなので
そのネタを引っ張ってくると元の脆弱性の内容について誤解されそうな気がします。
Excel, the final frontier (スコア:1)
Excel, the final frontier.
These are the voyages of the debugger staffs of Microsoft.
It's endless mission,
to explore strange new specifications,
to seek out new bugs and new vulnerability,
to boldly go where every user has been beated out ...
Re: (スコア:0)
むかしマイクロソフトが配っていた、Excel Viewerって大丈夫なのかな。
Re:Excel, the final frontier (スコア:1)
Windows7に期待しましょう。 (スコア:1)
この脆弱性は、特別な細工がされたExcelファイルをユーザーが開くことでそのユーザーの権限でコードが実行される可能性がある、というもの。この脆弱性はExcel 2000/2002/2003/2007とMac版Office 2004/2008等に存在するとのこと。
Vista及びMacOS X のユーザーにとっては、深刻な影響は無いと考えて良いようですね。
せめて、Vistaがもう少し軽ければ。
XPが出たときに、MEまでのソフト資産は、Virtual PCみたいな仮想環境に閉じ込められれば。
IEがPowerUser権限でUpdateできるようなシステムとあまり深く関わらないソフトだったら。
世のシステム管理者は、もう少し枕を高くして眠れていたかもしれませんね。
という訳で、Netbookでも、さくさく動くといわれているWindows7の早期発売に期待します。
Re: (スコア:0)
ユーザ権限だから深刻では無いという自信はどこから出て来るんだ。
MOICEって (スコア:0)
使ってる人いるの?
Re:MOICEって (スコア:2)
あれ?
Re:MOICEって (スコア:1)
初代のナスビMSマウスはよかったんだけどな~
Re:MOICEって (スコア:1)
>初代のナスビMSマウスはよかったんだけどな~
わたしも茄子マウスを愛用しています。
中古やジャンクを探して、ボールタイプと光学タイプを各3個ストックしていますよ。
ボタンのマイクロスイッチが壊れても、部品交換で対処しているくらい惚れてます。
http://www.microsoft.com/japan/hardware/mouse/intellimouse.mspx [microsoft.com]
http://www.microsoft.com/japan/hardware/mouse/intelli_optical_tec.mspx [microsoft.com]
入出力インターフェースは、自分に合うものを見つけられると幸せですよね。
Re: (スコア:0)
>MSマウス使いにくい人がここに。
右に同じ。
Trackpoint派なので、旧IBMのスクロールポイントマウスの方が好みです。
http://www.amazon.co.jp/dp/B00008B249 [amazon.co.jp]