パスワードを忘れた? アカウント作成
16661188 story
マイクロソフト

Office Open XML、ファイルへの署名が無意味になる脆弱性 13

ストーリー by headless
意味 部門より
Ecma/ISO で標準化されている Office Open XML (OOXML) 署名に仕様上およびアプリケーションでの実装上の問題が見つかり、Microsoft が修正したそうだ (論文アブストラクトThe Register の記事論文: PDF)。

仕様上の問題の中心となるのは、部分署名であることだ。これにより、署名済みのファイルに署名のないファイルを追加してドキュメントの代わりに表示させたり、署名済みのバイナリ形式の古い Word ドキュメント (.doc) を未署名の .docx ファイルに追加することでドキュメントが署名されているように見せかけたりすることも可能だという。

OOXML 署名は Microsoft Office と OnlyOffice Desktop が使用しているが、macOS 版 Microsoft Office では署名の確認が全く行われず、後述する実装上の問題を含めてすべての攻撃が成功するとのこと。実装上の問題は署名が確実に検証されないことで、ODF など XML 署名を使用する他のアプリケーションのドキュメントファイルから取り出して任意の署名入り OOXML ドキュメントを作成できる。また、ファイルの修復機能を悪用することで、生成された一時ファイルで署名が有効であるかのように見せかけることができる。

この問題を発見したドイツ・ルール大学ボーフムの研究グループは、事前に Microsoft と OnlyOffice、ISO/IEC JTC 1/SC 34 へ連絡し、調整を行ってから脆弱性を公表している。この過程で Microsoft は問題を認識し、報奨金プログラムの対象にもしたが、即時に対応が必要な問題ではないとして修正を行わない意思を示したそうだ。ただし、The Register が本件の記事を掲載した日の夜、Microsoft はすべてのサポートされる月次チャネル版 Office で問題を修正済みだとThe Register に連絡してきたとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年06月17日 20時45分 (#4479776)

    検証側の問題なのね。そうなら更新すれば問題ない。
    そもそも署名鍵持ってないのに署名したことになるなんてありえないけど。
    てかMS Officeの署名機能とか使ってる人…割と居そうだな。

    • by Anonymous Coward on 2023年06月17日 22時54分 (#4479810)

      部分署名は仕様上の問題だって書いてるじゃん

      親コメント
      • by Anonymous Coward

        最新版なら弾いてくれるなら仕様がどうだろうが関係なくない?

        • by Anonymous Coward

          OOXMLはオープンな規格なので、特定の実装のみ(仕様にない)対策をしただけでは解決済みとはいえないのよ。

  • by Anonymous Coward on 2023年06月17日 22時56分 (#4479813)

    修正を行わないと言ったはずのものが修正済みなんですかね。The Registerが記事を掲載してからジェバンニが半日でやってくれたのか

    • by Anonymous Coward on 2023年06月18日 0時09分 (#4479831)

      修正を行わない意思を示したが、修正していないとは言ってない…ってことなのかな?

      親コメント
    • by Anonymous Coward

      仕様バグだから根が深い。

      もしかすると、Office 365版のみ修正済みって事じゃないかな。
      買い切り版とかボリュームライセンス版とかは未修正とか。

      • by Anonymous Coward

        仕様バグを修正ってどうやって?仕様を変更しない限り無理でしょ。
        問題は複数あって、仕様バグはその内の一つでしかく、実装上の不具合は修正したってことでしょ。
        タレコミにあるようにmac版は署名検証していないからするようにしたとかさ。
        「icrosoft はすべてのサポートされる月次チャネル版 Office で問題を修正済みだとThe Register に連絡」と言っているのに、どうしてOffice365版だけ修正とか明後日なほうに飛躍出来るんだか。

        • by Anonymous Coward

          それはそれとして、月次チャネルってどのくらいの人が使ってるんだろ

    • by Anonymous Coward

      即時対応しないって言っているのを誤解しただけじゃない。

    • by Anonymous Coward

      元記事見ると、ただちに修正を必要とするものではない、とは言っていますが、だから修正を行わないとまでは言ってないですね。
      the vulnerabilities do not require immediate attention.

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...