マクロ入りOfficeファイルでMacを勝手に操作される脆弱性、研究者が発表

 
Microsoft Officeのマクロを使ってMacで任意のコードを実行されるmacOSの脆弱性について、セキュリティ研究者が注意喚起しています。なお、脆弱性はmacOSのアップデートで修正済みです。

Macでマクロ入りファイルを開く際に脆弱性

セキュリティ研究者のパトリック・ウォードル氏は、macOS上でMicrosoft Officeのマクロが埋め込まれたファイルを開く際に、警告が表示されないままマクロが実行される脆弱性がある、と発表しています。
 
Microsoft Officeのマクロを悪用した攻撃は、Windowsを標的にしたものが多いですが、Macユーザーも十分注意する必要がある、とウォードル氏は注意を促しています。
 
なお、この脆弱性は2020年1月に公開されたmacOS 10.15.3で修正されています。なお、現時点で最新のmacOSは、7月に公開されたmacOS 10.15.6です。
 
脆弱性の解説は、同氏のブログで読むことができます。

勝手にアプリを操作されるデモ動画も公開

ウォードル氏は、Webブラウザでダウンロードした拡張子「.slk」のOfficeファイルを開くと、何の警告もなしにExcelが起動するのと同時に「計算機」アプリが開くデモを動画で公開しています。
 

 
米メディアMacRumorsは、Macユーザーもウイルスなどの攻撃に晒されていることを認識し、発行者不明のファイルをダウンロードしたり開いたりする際は十分注意するべきだ、と注意を促しています。
 
 
Source:パトリック・ウォードル氏のブログ, MacRumors
(hato)