Microsoft、『Word』の未対応脆弱性について勧告を公開

Microsoft (NASDAQ:MSFT) は5日、『Word』の未対応脆弱性に対する攻撃ついて勧告を公開した。同社によると、このゼロデイ攻撃は限定的なものという。

問題の脆弱性が存在する製品は、『Windows』版および『Mac OS』版の両方に及ぶ。具体的には、『Microsoft Word 2000』『同2002』『Microsoft Office Word 2003』『Microsoft Word Viewer 2003』『Microsoft Word 2004 for Mac』『Microsoft Word 2004 v. X for Mac』、そして『Microsoft Works 2004』『同2005』『同2006』となっている。

Microsoft は勧告の中で、同脆弱性を修正するセキュリティ更新を開発中だと述べた。同脆弱性を突く悪質な Word ファイルを開くと、任意コードの実行を許しかねないという。攻撃者は細工した Word ファイルを、Eメールの添付ファイルとして送ったり、Web サイトに置いて相手を誘導する可能性がある。

未対応の脆弱性に関する情報集積サイト『Zero-Day Tracker』を運営する eEye Digital Security の CTO (最高技術責任者) Marc Maiffret 氏によると、今回の未対応脆弱性は「以前にあったいくつかの脆弱性と性質が同じ」だという。

一例を挙げると、今回問題になっている脆弱性は、今年9月に Word 2000 で見つかった脆弱性とよく似ている。

Microsoft は、信頼できない相手から受け取った Word ファイルはもちろん、信頼できる相手から受け取った Word ファイルでも、予期しないものについては、開いたり保存したりしないよう注意を呼びかけた。

今回タイミングとしては、1週間後に月例更新を控えている状況だ。Microsoft はどの時点で対応するのか明言していないが、調査が済み次第、月例外で更新を提供する可能性も示唆した。Microsoft は11月の月例更新で6件のセキュリティ情報を公開しており、そのうち5件は深刻度が最大の「緊急」だった。