Office Open XML、ファイルへの署名が無意味になる脆弱性 13
ストーリー by headless
意味 部門より
意味 部門より
Ecma/ISO で標準化されている Office Open XML (OOXML) 署名に仕様上およびアプリケーションでの実装上の問題が見つかり、Microsoft が修正したそうだ
(論文アブストラクト、
The Register の記事、
論文: PDF)。
仕様上の問題の中心となるのは、部分署名であることだ。これにより、署名済みのファイルに署名のないファイルを追加してドキュメントの代わりに表示させたり、署名済みのバイナリ形式の古い Word ドキュメント (.doc) を未署名の .docx ファイルに追加することでドキュメントが署名されているように見せかけたりすることも可能だという。
OOXML 署名は Microsoft Office と OnlyOffice Desktop が使用しているが、macOS 版 Microsoft Office では署名の確認が全く行われず、後述する実装上の問題を含めてすべての攻撃が成功するとのこと。実装上の問題は署名が確実に検証されないことで、ODF など XML 署名を使用する他のアプリケーションのドキュメントファイルから取り出して任意の署名入り OOXML ドキュメントを作成できる。また、ファイルの修復機能を悪用することで、生成された一時ファイルで署名が有効であるかのように見せかけることができる。
この問題を発見したドイツ・ルール大学ボーフムの研究グループは、事前に Microsoft と OnlyOffice、ISO/IEC JTC 1/SC 34 へ連絡し、調整を行ってから脆弱性を公表している。この過程で Microsoft は問題を認識し、報奨金プログラムの対象にもしたが、即時に対応が必要な問題ではないとして修正を行わない意思を示したそうだ。ただし、The Register が本件の記事を掲載した日の夜、Microsoft はすべてのサポートされる月次チャネル版 Office で問題を修正済みだとThe Register に連絡してきたとのことだ。
仕様上の問題の中心となるのは、部分署名であることだ。これにより、署名済みのファイルに署名のないファイルを追加してドキュメントの代わりに表示させたり、署名済みのバイナリ形式の古い Word ドキュメント (.doc) を未署名の .docx ファイルに追加することでドキュメントが署名されているように見せかけたりすることも可能だという。
OOXML 署名は Microsoft Office と OnlyOffice Desktop が使用しているが、macOS 版 Microsoft Office では署名の確認が全く行われず、後述する実装上の問題を含めてすべての攻撃が成功するとのこと。実装上の問題は署名が確実に検証されないことで、ODF など XML 署名を使用する他のアプリケーションのドキュメントファイルから取り出して任意の署名入り OOXML ドキュメントを作成できる。また、ファイルの修復機能を悪用することで、生成された一時ファイルで署名が有効であるかのように見せかけることができる。
この問題を発見したドイツ・ルール大学ボーフムの研究グループは、事前に Microsoft と OnlyOffice、ISO/IEC JTC 1/SC 34 へ連絡し、調整を行ってから脆弱性を公表している。この過程で Microsoft は問題を認識し、報奨金プログラムの対象にもしたが、即時に対応が必要な問題ではないとして修正を行わない意思を示したそうだ。ただし、The Register が本件の記事を掲載した日の夜、Microsoft はすべてのサポートされる月次チャネル版 Office で問題を修正済みだとThe Register に連絡してきたとのことだ。
検証側の問題なのね (スコア:0)
検証側の問題なのね。そうなら更新すれば問題ない。
そもそも署名鍵持ってないのに署名したことになるなんてありえないけど。
てかMS Officeの署名機能とか使ってる人…割と居そうだな。
Re:検証側の問題なのね (スコア:1)
部分署名は仕様上の問題だって書いてるじゃん
Re: (スコア:0)
最新版なら弾いてくれるなら仕様がどうだろうが関係なくない?
Re: (スコア:0)
OOXMLはオープンな規格なので、特定の実装のみ(仕様にない)対策をしただけでは解決済みとはいえないのよ。
どうして (スコア:0)
修正を行わないと言ったはずのものが修正済みなんですかね。The Registerが記事を掲載してからジェバンニが半日でやってくれたのか
Re:どうして (スコア:1)
修正を行わない意思を示したが、修正していないとは言ってない…ってことなのかな?
Re: (スコア:0)
仕様バグだから根が深い。
もしかすると、Office 365版のみ修正済みって事じゃないかな。
買い切り版とかボリュームライセンス版とかは未修正とか。
Re: (スコア:0)
仕様バグを修正ってどうやって?仕様を変更しない限り無理でしょ。
問題は複数あって、仕様バグはその内の一つでしかく、実装上の不具合は修正したってことでしょ。
タレコミにあるようにmac版は署名検証していないからするようにしたとかさ。
「icrosoft はすべてのサポートされる月次チャネル版 Office で問題を修正済みだとThe Register に連絡」と言っているのに、どうしてOffice365版だけ修正とか明後日なほうに飛躍出来るんだか。
Re: (スコア:0)
それはそれとして、月次チャネルってどのくらいの人が使ってるんだろ
Re: (スコア:0)
即時対応しないって言っているのを誤解しただけじゃない。
Re: (スコア:0)
元記事見ると、ただちに修正を必要とするものではない、とは言っていますが、だから修正を行わないとまでは言ってないですね。
the vulnerabilities do not require immediate attention.
Re: (スコア:0)
確かにZIP形式でファイルがまとまっているんだけど、圧縮かかってる?あれ。
圧縮率見たら圧縮されてないみたいなんだけど…!?