Microsoft、『Word 2000』の未対応脆弱性について警告

Microsoft (NASDAQ:MSFT) は現在、『Microsoft Word 2000』の未対応脆弱性を悪用する概念実証コードが公になったことを受け、この問題を調査中だ。

Microsoft Security Response Center (MSRC) の Alexandra Huft 氏は26日、MSRC 公式 Blog において、同社がセキュリティ勧告「932114」を公開したと述べた。同氏の投稿によると、この問題は「Microsoft Word 2000 だけに影響する」という。

Huft 氏は投稿の中で、次のように述べている。「特別に細工した Word 文書を開くよう相手を誘導することにより、攻撃者が相手のマシン上において、その攻撃対象ユーザーの権限でプログラムコードを実行し得る概念実証コードの投稿に関し報告があった。当社は現在、その報告内容を調査中だ」

セキュリティ会社 Secunia も26日、この脆弱性に関するセキュリティ勧告を公開した。同社は、この脆弱性の危険度を5段階中最大としている。

一方 Microsoft は、脆弱性の潜在的な影響について、今のところそれほど深刻には捉えていない。

Huft 氏は MSRC 公式 Blog の投稿の中で、「報告のあった脆弱性を突こうと試みる攻撃については、非常に限定的で標的を絞った攻撃が行なわれていると認識している」と記した。

同 Blog の説明によれば、「非常に限定的で標的を絞った攻撃」と表現した場合、極めて少数 (場合によっては1件ないし2件のみ) の顧客に対するもので、さらに特定の組織 (単一または複数) を対象にした計画的な攻撃を指すという。

このような攻撃と、無差別に多数の顧客へ影響を及ぼす攻撃を、同社は明確に区別している。

なお Microsoft のセキュリティ勧告によると、この攻撃が成立するには、Eメールの添付ファイルやその他の形で、攻撃者が作成した悪意のある Word ファイルを開くことが前提になるという。