Ecma/ISO で標準化されている Office Open XML (OOXML) 署名に仕様上およびアプリケーションでの実装上の問題が見つかり、Microsoft が修正したそうだ (論文アブストラクト、 The Register の記事、 論文: PDF)。

仕様上の問題の中心となるのは、部分署名であることだ。これにより、署名済みのファイルに署名のないファイルを追加してドキュメントの代わりに表示させたり、署名済みのバイナリ形式の古い Word ドキュメント (.doc) を未署名の .docx ファイルに追加することでドキュメントが署名されているように見せかけたりすることも可能だという。

OOXML 署名は Microsoft Office と OnlyOffice Desktop が使用しているが、macOS 版 Microsoft Office では署名の確認が全く行われず、後述する実装上の問題を含めてすべての攻撃が成功するとのこと。実装上の問題は署名が確実に検証されないことで、ODF など XML 署名を使用する他のアプリケーションのドキュメントファイルから取り出して任意の署名入り OOXML ドキュメントを作成できる。また、ファイルの修復機能を悪用することで、生成された一時ファイルで署名が有効であるかのように見せかけることができる。

この問題を発見したドイツ・ルール大学ボーフムの研究グループは、事前に Microsoft と OnlyOffice、ISO/IEC JTC 1/SC 34 へ連絡し、調整を行ってから脆弱性を公表している。この過程で Microsoft は問題を認識し、報奨金プログラムの対象にもしたが、即時に対応が必要な問題ではないとして修正を行わない意思を示したそうだ。ただし、The Register が本件の記事を掲載した日の夜、Microsoft はすべてのサポートされる月次チャネル版 Office で問題を修正済みだとThe Register に連絡してきたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ソフトウェア | バグ | 暗号 |

関連ストーリー：
Microsoft Office、インターネットから取得したマクロのデフォルトブロック再開へ 2022年07月23日
Microsoft、サポート診断ツールのゼロデイ脆弱性を認める 2022年06月03日
Microsoft Defender for Endpoint、Office コンポーネントについて誤ったランサムウェア警告を表示するトラブル 2022年03月19日
Officeの更新プログラムを導入するとAccessでクエリエラーが発生するとの報告 2019年11月18日
Microsoft、Office 365の脆弱性を報告から7時間で修正していた 2016年05月02日
ついにMS Officeのドキュメントフォーマットが公開 2008年02月20日
Microsoft OOXMLのISO標準化、今回は否決 2007年09月05日
Microsoft Office Open XMLのISO標準化プロセス、難航か? 2007年02月11日
次期 NeoOffice は Office Open XML と Excel VBA 対応へ 2007年01月08日
Microsoft Office Open XML Formatsが標準規格として承認される 2006年12月08日
Microsoft OfficeでOpenDocument Formatサポートへ 2006年07月06日