Microsoft OLEにゼロデイ脆弱性、PowerPoint悪用の標的型攻撃も

Windows Server 2003を除く現在サポートされている全てのWindowsに影響するといい、限定的な標的型攻撃も発生している。

[ITmedia]

　Microsoftは10月22日、Microsoft OLEに未修正の脆弱性が見つかったとしてセキュリティアドバイザリーを公開した。Windows Server 2003を除く現在サポートされている全てのWindowsに影響する。

　この脆弱性はMicrosoft OLEに起因し、リモートから任意のコードを実行できてしまう。攻撃ではメールやメッセンジャーなどのリンクや添付からユーザーに細工したOfficeファイルなどを開かせ、脆弱性を突いて任意コード実行を可能にするという。実際にPowerPointを使って脆弱性を突く限定的な標的型攻撃が発生している。

　同社は緩和策として「Fix IT」を公開。ただし、Windows 8/8.1、Windows Server 2012/2012 R2上で利用する64ビット版のPowerPointに適用できない。また、Enhanced Mitigation Experience Toolkit（EMET）のASR機能を使用するようことで攻撃の影響を緩和できる場合があるという。

　今回の脆弱性には「CVE-2014-6352」の共通脆弱性識別子が割り当てられており、Microsoftが15日に公開している月例セキュリティ情報の「MS14-060」で解決したWindows OLEの脆弱性（CVE-2014-4114）とは異なる。

　CVE-2014-4114の脆弱性をめぐっては、欧米やウクライナなどの複数の政府機関やエネルギー業界、通信業界の企業、学術機関を狙った標的型攻撃が発生しており、この攻撃でも細工されたPowerPointファイルが使われていた。