MS Officeコンポーネントに新たな脆弱性、ゼロデイ攻撃が発生
IEでExcelスプレッドシートを表示するためのActiveXコントロールに脆弱性が存在する。細工を施したOffice文書を特定の組織に送りつける攻撃も発生している。
米Microsoftの製品に新たな未パッチの脆弱性が確認された。同社は7月13日付でセキュリティアドバイザリーを公開し、この脆弱性を突いた攻撃が既に発生しているとして、ユーザーに対策を呼び掛けている。
MicrosoftやSANS Internet Storm Centerによると、脆弱性はOffice Web ComponentsのActiveXコントロールに存在する。これはInternet Explorer(IE)でExcelスプレッドシートを表示するために使われるものだという。
悪用された場合、攻撃者がローカルユーザーと同じ権限を取得でき、IEを使えばユーザーが何も操作しなくても、リモートからコードを実行することが可能になる。
実際に、この問題を突いた攻撃の発生も報告されている。高度に難読化された悪用コードを仕込んでいる「.cn」ドメインが存在するほか、13日には特定の組織を狙ったターゲット型攻撃も発生。HTMLを組み込んで細工を施したOffice文書が、その組織あてに名指しで送られてきたという
脆弱性が存在する製品は、Office XP SP3、Office 2003 SP3、Internet Security and Acceleration Server 2004/2006、Office Small Business Accounting 2006など多数に上る。
Microsoftはこの問題を解決するパッチの開発に着手しており、準備ができ次第、配布する方針。当面の回避策として、手作業またはMicrosoftが提供するツールを使って設定を変更し、IEでOffice Webコンポーネントが実行されるのを防ぐ方法を紹介している。
関連記事
- 7月のMSパッチは緊急3件を含む計6件、DirectShowの脆弱性に対処
Microsoftの月例パッチは日本時間15日に公開予定。6件のうち3件が「緊急」レベルとなる。 - Windowsにゼロデイの脆弱性、サイト改ざん攻撃が多発
MicrosoftのVideo ActiveX Controlにゼロデイの脆弱性が発覚した。何千ものWebサイトが改ざんされ、閲覧しただけでマルウェアに感染する状態になっているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.