Microsoft、MS Office の未知のセキュリティ脆弱性を修正するアップデートをリリース

Microsoft Office は、ワード プロセッサ、スプレッドシート、およびプレゼンテーション ソフトウェアを組み合わせた、最も一般的に使用されるアプリケーション スイートです。これは、人気を博し、ユーザーが手動ドキュメントからデジタル化への移行を支援した最初のアプリケーションの 1 つです。しかし、サイバーセキュリティ会社である Check Point Research (CPR) は最近、何年も潜んでいたと疑われるバグを発見しました。

この脆弱性はすぐに Microsoft に通知され、その後すぐにこの脆弱性にパッチを当てる更新プログラムがリリースされました。この更新プログラムは、すべての Microsoft ユーザーに公開されており、MS Word、MS Excel、MS Powerpoint、および MS Outlook を安全に使用できるようになります。 CPR レポートが言うように、この欠陥または失策は、Excel95 ファイル形式のレガシー コード内で見つかったリスクでした。この形式は古いものであり、セキュリティ上の欠陥が非常に長い間存在していたことを意味します。解析ミスは、Microsoft Office がインストールされたシステムに悪意を持った人々が侵入することを可能にした可能性があるため、非難されるべきです。

CPR レポートはさらに、この脆弱性 (現在は更新プログラムで修正済み) を悪用して、MS Office アプリや Outlook (.EML)、Word (.DOCX)、Excel (.EXE) などのファイルを介してコード ターゲットを実行できると述べています。 Check Point Software の Cyber​​ Research 責任者である Yaniv Balmas が確認したように、この脆弱性は新旧の Microsoft Office エコシステム全体に影響を与えました。彼はまた、Microsoft Office のセキュリティ チェーンの弱点として機能するレガシー コードについても説明しました。

この脆弱性は、CPR が Microsoft Graph をテストしようとしたときに Microsoft Office で発見されました。これは、ユーザーがデザインやグラフをデザインできるようにする MS Office モジュールです。 CPR が MS Graph で使用したプロセスは、ファジング と呼ばれていました。 これは、アプリケーションのソフトウェア バグを特定する自動化されたソフトウェア テスト手法です。テスターは無効なデータを入力し、アプリがこのデータにどのように反応するかを確認し、コーディング エラーとセキュリティ上の欠陥を記録するだけなので、ファジングの背後にある考え方は単純です。

この脆弱性は、Excel 95 ファイル形式で発見されました。Excel 95 ファイル形式は古い形式であり、現在は使用されていませんが、MS Office のすべてのアプリケーションでサポートされているため、残りのすべてのアプリケーションがハッカーの攻撃に対して脆弱になります。 CPR はこれまでに Microsoft に報告された 4 つの欠陥のみを発見し、Microsoft Office 内の他の欠陥を引き続き探しています。

Microsoft は、CPR によって強調されたレポートに迅速に対応し、更新プログラム CVE-2021-31174、CVE-2021-31178、CVE-2021-31179、および CVE-2021-31939 を展開することによって、この欠陥に対するパッチが発行されました。 PC を更新する場合は、次の手順に従ってください:

ステップ 1: Windows + I を押して設定ウィンドウを開きます。

ステップ 2: [更新と設定] をクリックします。

ステップ 3 :[更新の確認] をクリックします。更新が地域に展開されている場合は、自動的にインストールされます。