『PowerPoint』に未対応脆弱性、一方『VML』の脆弱性は月例外対応

『Microsoft Office』製品を標的にした新たなゼロデイ攻撃が発生し、Microsoft (NASDAQ:MSFT) は調査を進めている。

ゼロデイ攻撃とは、正式対応前の脆弱性に対する攻撃を指す。未対応の脆弱性といえば、先日も『Vector Markup Language』(VML) の実装コンポーネントに脆弱性が見つかっていた。

まず Office 製品の問題だが、Microsoft の広報担当によると、新たなゼロデイ攻撃は、『Microsoft PowerPoint 2000』『Microsoft PowerPoint 2002』『Microsoft Office PowerPoint 2003』『Microsoft PowerPoint 2004 for Mac』および『Microsoft PowerPoint v. X for Mac』の脆弱性を狙ったものという。

セキュリティ製品大手 McAfee (NYSE:MFE) のウイルス調査マネージャ Craig Schmugar 氏は取材に対し、PowerPoint を狙った最新の攻撃はバッファオーバーフローの脆弱性を悪用し、トロイの木馬を仕掛けるものだと語った。

侵入経路は、細工した PowerPoint ファイルだ。脆弱性を持つ PowerPoint で該当ファイルを開くと、悪質コードが機能して密かに「.exe」ファイルを実行し、バックドアとして機能する2つの「.dll」ファイルをインストールする。この「.dll」ファイルは、『Internet Explorer』(IE) 実行時に読み込まれ、IE で入力した情報を外部の Web サイトに送りつけるという。

被害数が少なく、横取りした情報を受け取っていた2つの Web サイトも活動の様子が見えないことから、McAfee と Microsoft はこの攻撃の危険性を、限定的なものとしている。

Microsoft は危険性緩和材料として、攻撃者は細工した PowerPoint ファイルを開くようユーザーを誘導する必要があると述べた。

同社は27日、この問題についてセキュリティ勧告「925984」を公開した。同社は当面の回避策として、PowerPoint ファイルを見るだけならば、『PowerPoint Viewer 2003』を使用するよう勧めている。

さて、冒頭で触れた VML コンポーネントの脆弱性だが、同脆弱性のはらむ危険性が大きいとの判断から、Microsoft は26日、セキュリティ情報「MS06-055」を公開し、10月の月例更新前に対応パッチをリリースした。

同社は当初セキュリティ勧告の中で、10月10日の月例更新日を目標に対応作業が進行中と述べていたが、これを1週間以上早めた形だ。MS06-055 の深刻度は、最大レベルの「緊急」となっている。