MSのAccessビュワーに未修正の脆弱性：ターゲット型攻撃も多発

[ITmedia]

　Microsoft OfficeのSnapshot Viewerに新たな脆弱性が見つかり、この脆弱性を突いたとみられるターゲット型攻撃が多発しているという。修正パッチは未公開。

　Snapshot ViewerはAccessで作成したリポートを見るためのビュワー。MicrosoftとUS-CERTが7月7日付で公開した情報によると、脆弱性はActiveXコントロール（snapview.ocx）に存在し、Internet Explorer（IE）を通じて悪用される恐れがある。

　攻撃者が細工を施したWebページを作成し、ユーザーをだまして閲覧させると、リモートでコードを実行できるようになる。

　Microsoftによれば、影響を受けるのはMicrosoft Office Access 2000、Microsoft Office Access 2002、Microsoft Office Access 2003のSnapshot Viewer。また、スタンドアロンのSnapshot Viewerにもこの問題のActiveXコントロールが含まれている。

　US-CERTは当面の回避策として、IEでキルビットを設定し、問題のActiveXコントロールを無効にする、IE 7にアップグレードする、管理者権限でWindowsを実行しない、などの対策を挙げている。具体的なやり方はMicrosoftが技術文書で解説している。

　Microsoftは今後、月例パッチまたは臨時パッチでの対処を含め、適切な措置を取る方針だという。

過去のセキュリティニュース一覧はこちら