マクロ入りOfficeファイルでMacを勝手に操作される脆弱性、研究者が発表
Microsoft Officeのマクロを使ってMacで任意のコードを実行されるmacOSの脆弱性について、セキュリティ研究者が注意喚起しています。なお、脆弱性はmacOSのアップデートで修正済みです。
Macでマクロ入りファイルを開く際に脆弱性
セキュリティ研究者のパトリック・ウォードル氏は、macOS上でMicrosoft Officeのマクロが埋め込まれたファイルを開く際に、警告が表示されないままマクロが実行される脆弱性がある、と発表しています。
Microsoft Officeのマクロを悪用した攻撃は、Windowsを標的にしたものが多いですが、Macユーザーも十分注意する必要がある、とウォードル氏は注意を促しています。
なお、この脆弱性は2020年1月に公開されたmacOS 10.15.3で修正されています。なお、現時点で最新のmacOSは、7月に公開されたmacOS 10.15.6です。
脆弱性の解説は、同氏のブログで読むことができます。
勝手にアプリを操作されるデモ動画も公開
ウォードル氏は、Webブラウザでダウンロードした拡張子「.slk」のOfficeファイルを開くと、何の警告もなしにExcelが起動するのと同時に「計算機」アプリが開くデモを動画で公開しています。
米メディアMacRumorsは、Macユーザーもウイルスなどの攻撃に晒されていることを認識し、発行者不明のファイルをダウンロードしたり開いたりする際は十分注意するべきだ、と注意を促しています。
Source:パトリック・ウォードル氏のブログ, MacRumors
(hato)