IEでExcelスプレッドシートを表示するためのActiveXコントロールに脆弱性が存在する。細工を施したOffice文書を特定の組織に送りつける攻撃も発生している。
米Microsoftの製品に新たな未パッチの脆弱性が確認された。同社は7月13日付でセキュリティアドバイザリーを公開し、この脆弱性を突いた攻撃が既に発生しているとして、ユーザーに対策を呼び掛けている。
MicrosoftやSANS Internet Storm Centerによると、脆弱性はOffice Web ComponentsのActiveXコントロールに存在する。これはInternet Explorer(IE)でExcelスプレッドシートを表示するために使われるものだという。
悪用された場合、攻撃者がローカルユーザーと同じ権限を取得でき、IEを使えばユーザーが何も操作しなくても、リモートからコードを実行することが可能になる。
実際に、この問題を突いた攻撃の発生も報告されている。高度に難読化された悪用コードを仕込んでいる「.cn」ドメインが存在するほか、13日には特定の組織を狙ったターゲット型攻撃も発生。HTMLを組み込んで細工を施したOffice文書が、その組織あてに名指しで送られてきたという
脆弱性が存在する製品は、Office XP SP3、Office 2003 SP3、Internet Security and Acceleration Server 2004/2006、Office Small Business Accounting 2006など多数に上る。
Microsoftはこの問題を解決するパッチの開発に着手しており、準備ができ次第、配布する方針。当面の回避策として、手作業またはMicrosoftが提供するツールを使って設定を変更し、IEでOffice Webコンポーネントが実行されるのを防ぐ方法を紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.