MS Officeコンポーネントに新たな脆弱性、ゼロデイ攻撃が発生

IEでExcelスプレッドシートを表示するためのActiveXコントロールに脆弱性が存在する。細工を施したOffice文書を特定の組織に送りつける攻撃も発生している。

» 2009年07月14日 08時16分 公開
[ITmedia]

 米Microsoftの製品に新たな未パッチの脆弱性が確認された。同社は7月13日付でセキュリティアドバイザリーを公開し、この脆弱性を突いた攻撃が既に発生しているとして、ユーザーに対策を呼び掛けている。

 MicrosoftやSANS Internet Storm Centerによると、脆弱性はOffice Web ComponentsのActiveXコントロールに存在する。これはInternet Explorer(IE)でExcelスプレッドシートを表示するために使われるものだという。

 悪用された場合、攻撃者がローカルユーザーと同じ権限を取得でき、IEを使えばユーザーが何も操作しなくても、リモートからコードを実行することが可能になる。

 実際に、この問題を突いた攻撃の発生も報告されている。高度に難読化された悪用コードを仕込んでいる「.cn」ドメインが存在するほか、13日には特定の組織を狙ったターゲット型攻撃も発生。HTMLを組み込んで細工を施したOffice文書が、その組織あてに名指しで送られてきたという

 脆弱性が存在する製品は、Office XP SP3、Office 2003 SP3、Internet Security and Acceleration Server 2004/2006、Office Small Business Accounting 2006など多数に上る。

 Microsoftはこの問題を解決するパッチの開発に着手しており、準備ができ次第、配布する方針。当面の回避策として、手作業またはMicrosoftが提供するツールを使って設定を変更し、IEでOffice Webコンポーネントが実行されるのを防ぐ方法を紹介している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ