ニュース
» 2006年12月15日 08時45分 公開

Wordで3件目のゼロデイ脆弱性、実証コードも公開

Wordでまた新たな未パッチの脆弱性が報告された。Mac版にも影響し、コンセプト実証コードも公開されている。

[ITmedia]

 Microsoft Wordでまた新たな未パッチの脆弱性が報告され、セキュリティ各社が12月14日、アドバイザリーを公開した。12月に入って発覚したWordのゼロデイの脆弱性はこれで3件目となる。

 仏FrSIRTのアドバイザリーによると、不正な文書を開く際のメモリ破損エラーが原因で脆弱性が存在する。攻撃者がこれを悪用すると、ユーザーを騙して細工を施したWord文書を開かせ、任意のコマンドを実行することが可能になり、システムを完全に制御されてしまう恐れがある。

 FrSIRTの危険度評価は4段階で最も高い「Critical」となっている。

 影響を受けるのはWord 2000/2002/2003、Word Viewer 2003、Word 2004 for Mac、Word 2004 v. X for Mac。

 US-CERTによれば、この脆弱性を突いたコードが公開されている。Microsoftの公式パッチはリリースされていない。

 回避策として、内容が分からないWordなどのOffice文書、特にWebサイトでホスティングされていたり電子メールの添付として届くものは開いてはいけないとUS-CERTはアドバイスする。

 Office 97とOffice 2000ではデフォルトで、Internet Explorer(IE)から自動的にOffice文書を開く設定になっているため、この機能を無効にするやり方も紹介している。Firefoxでもファイルを自動的に開く機能を無効にすることを推奨している。

 Microsoftは12月5日のセキュリティアドバイザリーで、Wordの未パッチの脆弱性を悪用したゼロデイ攻撃が起きていると報告。その後10日には、Wordの新たな脆弱性を調査していることを明らかにした。今回報告された脆弱性は、この2件とは別のものだとセキュリティ各社は指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ