Office Webコンポーネントに脆弱性、ゼロデイ攻撃も確認される

セキュリティアドバイザリで提示された回避策を自動的に行うプログラムを配布するページ

　マイクロソフトは13日、「Office Webコンポーネント」にセキュリティ更新プログラム（パッチ）未提供の脆弱性が見つかり、これを悪用したゼロデイ攻撃を確認したとして、セキュリティアドバイザリを公開した。

　脆弱性が存在するのは、Internet Explorer（IE）でスプレッドシートを表示するためのActiveXコントロール。IEでActiveXコントロールが使用されている場合、細工されたサイトにアクセスすると、攻撃者によってリモートから任意のコードを実行される恐れがある。

　脆弱性の影響を受けるソフトウェアは、Office XP SP3、Office 2003 SP3、Office XP WebコンポーネントSP3、Office 2003 WebコンポーネントSP3、2007 Office system SP1用のOffice 2003 Webコンポーネント、Internet Security and Acceleration Server 2006/2004、Office Small Business Accounting 2006など。

　マイクロソフトでは現在、この脆弱性に対処するためのパッチを開発中。セキュリティアドバイザリでは当面の回避策として、Office WebコンポーネントがIEで実行されるのを防ぐ方法を挙げており、自動的に回避策を実行するツールも紹介している。