とある脆弱性と思われる件についてIPAに連絡したのですが、IPAの判断としては「脆弱性ではない」とのこと。確かに微妙なラインではありますが、具体的な悪用のためのシナリオを添えて再検討を依頼しても、やはり「脆弱性ではない」の一点張り…。これ以上やりとりするのに疲れたので、とりあえず放置することにします。
いくらユーザ自身がそのファイルを開く権限やそこに含まれるマクロやスクリプトを実行する権限を持っているからといっても、意図していないファイルが開いてしまうのは、脆弱性だと思うんですけどねぇ。
もうちょっと捕捉補足。
特定条件下にて、ユーザが A というファイルを開こうとすると、B というファイルが開いてしまう。B というファイルには、マクロやスクリプトなどが書かれているかも知れない。という状況なのですが、IPA 曰く B というファイルはそもそもユーザが開いて実行することを許可されたファイルであるので脆弱性ではない、とのこと。むー。