アカウント名:
パスワード:
VBAマクロでローカルファイルの操作を含むたいていの処理は可能なわけですが、外部から入手したOfficeドキュメントを開くと、警告が出て既定でマクロが無効化されますね。これが、警告なしで動作してしまうのが脆弱性ってことでしょうか。
この脆弱性の有無にかかわらず、Office文書は実行プログラムと同等の扱いにするべきでしょうね。警告が出たとしても、ユーザが解除するのは簡単ですから。
UACの、って言ってるのになんでマクロだと勘違いするかね
>警告なしで動作してしまうのが脆弱性→警告なしで、任意の処理が可能になるのが実質的なセキュリティリスク
別にVBAが動作するわけではないので、表現が不適切でした。「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
> 別にVBAが動作するわけではないので、表現が不適切でした。> 「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
そうじゃなくてですね、ユーザーのデータを荒らされるのも十分に問題ですが、UACが突破されるのが最も深刻な問題で、なんでそんなことになっているんだろうっていう話ですよ。
いや、これはpackager.dllのセキュリティホールのようですから、MS-Office文書の問題とはまた別では?仕組みからすると、MS-OfficeでないOLEコンテナでも同じことができるものがありそうで怖いです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
警告が出るかどうかの違い? (スコア:0)
VBAマクロでローカルファイルの操作を含むたいていの処理は可能なわけですが、外部から入手したOfficeドキュメントを開くと、警告が出て既定でマクロが無効化されますね。
これが、警告なしで動作してしまうのが脆弱性ってことでしょうか。
この脆弱性の有無にかかわらず、Office文書は実行プログラムと同等の扱いにするべきでしょうね。
警告が出たとしても、ユーザが解除するのは簡単ですから。
Re: (スコア:0)
UACの、って言ってるのになんでマクロだと勘違いするかね
Re: (スコア:0)
>警告なしで動作してしまうのが脆弱性
→警告なしで、任意の処理が可能になるのが実質的なセキュリティリスク
別にVBAが動作するわけではないので、表現が不適切でした。
「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
Re: (スコア:0)
> 別にVBAが動作するわけではないので、表現が不適切でした。
> 「脆弱性がなくても、警告さえ解除してしまえば任意の処理が実行可能ですので、もともとOffice文書は危険なものです」というのが言いたかったことです。
そうじゃなくてですね、
ユーザーのデータを荒らされるのも十分に問題ですが、
UACが突破されるのが最も深刻な問題で、なんでそんなことになっているんだろうっていう話ですよ。
Re: (スコア:0)
いや、これはpackager.dllのセキュリティホールのようですから、MS-Office文書の問題とはまた別では?
仕組みからすると、MS-OfficeでないOLEコンテナでも同じことができるものがありそうで怖いです。