互換用に残されていたMS Office付属の数式エディタ、脆弱性が見つかり削除される 17
ストーリー by hylom
まだあったのか 部門より
まだあったのか 部門より
昨年11月、Microsoft Officeに付属する数式エディタ(Microsoft Equation)に脆弱性が確認された(INTERNET Watch)。これを受けて、Microsoftが数式エディタを無効化し利用できなくするアップデートを行ったようだ(Togetterまとめ)。
1月6日付けのMicrosoftのサポート情報に、数式エディタがセキュリティ上の問題で削除された旨が記されている。問題の脆弱性はCVE-2017-11882というもので、11月に数式エディタを起動できなくするセキュリティアップデートがリリースされている。
数式エディタは古いOfficeとの互換性のために残されていたとのことで、Office 2007以降にはネイティブで数式編集機能が組み込まれているが、それ以前のバージョンで数式エディタを使用して入力された数式については編集できない。その場合、MathTypeなどを利用すれば対応できるようだ。
なぜ本件にかかわる超アレゲな話をしないのか (スコア:3, 興味深い)
まず訂正。11月にEquation Editor脆弱性が発覚した時、マイクロソフトはたしかに無効化を推奨はしたが、脆弱性に対処する修正パッチもちゃんと出している [ipa.go.jp]。
超アレゲなのはここから。この修正パッチはなんとバイナリを直接編集して作られた [arstechnica.com]ものらしい。Equation Editorは実は外部開発されたものなので、マイクロソフトはもうソースコードを持っていなかったのではないかと推測されている。
MS Officeという世界的にも五指に入る重要ソフトの裏でこんな職人芸が行われていたというお話でした。
Re: (スコア:0)
パッチと言ったらだいたいバイナリパッチなのかと思ってたわ
Re: (スコア:0)
それは高レベル言語のソースを修正→コンパイル→旧バージョンとの差分を取る→配布というメカニズムでしょ。
これはバイナリエディタで編集したって言ってるんだぞ。
直撃くらった (スコア:1)
査読から帰ってきた論文修正しようとして、エラーででたのはこのせいだったのか。
結局、DOC版のテンプレートをDOC版にバージョンアップしたうえで数式全部打ち直す羽目になった。数少なかったからいいけど、式が中心の論文だったら大変だったろうなあ。
Re: (スコア:0)
俺もだ。
来週カメラレディなのに、「さてやるか」と思ったら数式エディタがみつからないため
とエラーが出た。
打ち直しかよ。
雑魚い会議だからwordでも何でもよかった。今は後悔している。
だから数式はTeXで書いとけって言ったのに (スコア:0)
Re: (スコア:0)
WordもTeXに近い記法で数式が欠けるようになったけど、たとえば \mathstrut が無いので根号の高さがそろわないんですよね
どうしてなかなか実戦投入には程遠い
#と書いておくと誰かが解決法を教えてくれるかも
Re: (スコア:0)
#と書いておくと誰かが解決法を教えてくれるかも
TeXで書いてPDFで出力して貼りつければいいじゃん。
#とボケてみたら誰かがツッコんでくれるかも
Re: (スコア:0)
Wordのpdf読み込み精度ってあまり良くないよね。
アンダーバーがいつも消されてしまう・・・
Re: (スコア:0)
古い数式エディタがどれぐらい古いのか分からないけど、.docxとかになって以降ならオープンな規格なので、あれこれツールを経由するとTeXと相互変換できたはず。
ただ、微妙に作法が違って、TeXからMathML経由で.docxにするところまで自動化してみたけど、Σの後ろの点線四角に入って欲しいものが、独立して後ろに並んだものになったりと、思ったほどには完璧に行かなかった。
Re: (スコア:0)
リンク先に有るけど、LaTexで不満ならTex使えば良いと思う。
使い勝手は知らないw
AccessとVisio以外はLibreで見れればいいやーの人なので。
対策はMathType (スコア:0)
IPAでは、数式エディタを無効化する回避策も案内している
なんてソースで述べられてるけど、これは誤り。案内されているのは、レジストリキーの編集はアップデートをせずに数式エディタを使えなくする方法。
数式エディタを利用するには、アップデートせずに脆弱性を残したままにするか、MathTypeを利用するしかない。
#学生のときは数式エディタないと何もできなかったなぁ。今回の無効化措置は影響大きそう
Re:対策はMathType (スコア:2, 興味深い)
今回の数式エディタってMathTypeの(機能限定版の?)OEMだから
新しいMathType(Lite)入れるのが最適な脆弱性回避なんだけど
MSは互換性のない自社開発の数式モジュールに差し替えた後だから
不親切な対応をしてるんだよね。
Re: (スコア:0)
昔 Expressionist て数式エディタがありまして。
競合の MathType より使いやすいかなと思ったものですが、無くなっちゃいましたね。
数式処理ソフト Theorist の後継、LiveMath [livemath.com] の数式描画エンジンがこれを元にしてるとか何とか。(嘘かも)
Wikipedia(en) の "Formula editor [wikipedia.org]" が日本語版より多くリストアップしてるけど、それでも載ってないなぁ・・・
Re:対策はMathType (スコア:1)
MathTypeって汚いんだよなー。
Expressionistの方が良いと思って使ってたけど今はTeXから絵にして貼ってる。
TeX自体も保存する必要があるけど、TeXはtextだから将来の変化にも安全度が大きい。
the.ACount
Re: (スコア:0)
Web 上に TeX/LaTeX を様々なデータ形式に変換するサービス(ほとんどは無償)が山ほどあり、驚きました。
もう私は数式を書くこともなくなりましたが、ワープロソフトが席巻する世の中でも、使われる場面はちゃんと残っているんですね。
先日も同じようなケースが (スコア:0)
この前のMeltdown/Spectreのパッチでも同じようなことがあったな。
https://security.srad.jp/comment/3342956 [security.srad.jp]
0-day脆弱性があるとネットで叩かれるご時世だからしょうがないんだろうけど、もうちょい丁寧なアナウンスが欲しいな。