Wordの脆弱性に対処する「非公式フィックス」

Microsoftがセキュリティアップデートの準備を進める中で、独立系研究者が非公式のフィックスをリリースした。

» 2006年05月23日 17時44分 公開
[ITmedia]

 Microsoft Wordのゼロデイ脆弱性に対処する「非公式」プログラムを、独立系セキュリティ研究者がリリースした。

 この脆弱性は、悪用すれば不正なWord文書を利用して任意のコードを実行できるというもの。既に複数のセキュリティ企業がこの脆弱性を悪用した攻撃を報告している(5月20日の記事参照)

 Microsoftはこの脆弱性に対処したセキュリティアップデートをまだリリースしていない。同社は現在このアップデートをテスト中だ。

 セキュリティ研究者のマシュー・マーフィー氏は自身のブログで、この脆弱性について、管理者としてログインしていないユーザーは危険ではないと指摘。管理者としてログインする場合はWindows XPのソフトウェア制限ポリシー(SRP)を使うことを提案している。「Basic User」SRPを使えば、既に出回っているマルウェアがアクセスする特定のレジストリやファイルシステムロケーションに書き込みできない状態でWordを起動できるという。

 さらに同氏は、winword.exeのすべてのインスタンスをBasic Userで実行するようSRPを設定するスクリプトをリリースした。ただし同氏は、このフィックスは既知のゼロデイ攻撃の特徴に基づいたもので、今後登場する亜種に対しては効果は減るだろうと述べている。

 Microsoftは5月22日、この脆弱性のアドバイザリーを発行。この問題を修正するフィックスを6月13日に公開する月例アップデートに組み込むか、品質が保証されれば前倒しでリリースする予定だとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ