アカウント名:
パスワード:
VBAマクロでローカルファイルの操作を含むたいていの処理は可能なわけですが、外部から入手したOfficeドキュメントを開くと、警告が出て既定でマクロが無効化されますね。これが、警告なしで動作してしまうのが脆弱性ってことでしょうか。
この脆弱性の有無にかかわらず、Office文書は実行プログラムと同等の扱いにするべきでしょうね。警告が出たとしても、ユーザが解除するのは簡単ですから。
>警告なしで動作してしまうのが脆弱性→警告なしで、任意の処理が可能になるのが実質的なセキュリティリスク
別にVBAが動作するわけではないので、表現が不適切でした。「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
> 別にVBAが動作するわけではないので、表現が不適切でした。> 「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
そうじゃなくてですね、ユーザーのデータを荒らされるのも十分に問題ですが、UACが突破されるのが最も深刻な問題で、なんでそんなことになっているんだろうっていう話ですよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
警告が出るかどうかの違い? (スコア:0)
VBAマクロでローカルファイルの操作を含むたいていの処理は可能なわけですが、外部から入手したOfficeドキュメントを開くと、警告が出て既定でマクロが無効化されますね。
これが、警告なしで動作してしまうのが脆弱性ってことでしょうか。
この脆弱性の有無にかかわらず、Office文書は実行プログラムと同等の扱いにするべきでしょうね。
警告が出たとしても、ユーザが解除するのは簡単ですから。
Re: (スコア:0)
>警告なしで動作してしまうのが脆弱性
→警告なしで、任意の処理が可能になるのが実質的なセキュリティリスク
別にVBAが動作するわけではないので、表現が不適切でした。
「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
Re:警告が出るかどうかの違い? (スコア:0)
> 別にVBAが動作するわけではないので、表現が不適切でした。
> 「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
そうじゃなくてですね、
ユーザーのデータを荒らされるのも十分に問題ですが、
UACが突破されるのが最も深刻な問題で、なんでそんなことになっているんだろうっていう話ですよ。