Microsoft XML Core Servicesに脆弱性、WindowsとOfficeに影響、すでに攻撃も

　日本マイクロソフト株式会社は13日、Microsoft XML Core Services（MSXML）3.0/4.0/5.0/6.0に脆弱性が見つかったとして、セキュリティアドバイザリ（2719615）を公開した。この脆弱性を悪用した攻撃がすでに行われていることを確認しているとし、回避策を適用するためのFix itも用意している。

　脆弱性は、MSXMLが初期化されていないメモリ内のオブジェクトにアクセスしようとする際に発生。ユーザーが細工されたウェブページをInternet Explorer（IE）で表示すると、リモートでコードが実行される可能性があるとしている。影響を受けるソフトは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003のサポートされている全バージョンと、Office 2007/2003のサポートされている全エディション。一方、Office 2010、Office Web Apps 2010、Office互換機能パック、Office 2008 for Mac、Office for Mac 2011、Microsoft Works 9は影響を受けないとしている。

　マイクロソフトでは、調査が完了次第、ユーザーを保護するための適切な措置を講じる予定で、月例または定例外のセキュリティ更新プログラム（パッチ）を提供する場合もあるという。

　現時点では、パッチなどの根本的な解決策が提供されるまでの間の回避策として、既知の攻撃方法を阻止するのに役立つ設定・構成の変更を示しており、その適用作業を自動化したFix itを公開している。また、IEにおいて、インターネットおよびイントラネットゾーンでアクティブスクリプトが実行される前にダイアログを表示、またはアクティブスクリプトを無効にするよう設定する方法も紹介している。

　今回の脆弱性の報告などでマイクロソフトに協力した米Googleによると、この脆弱性は、IEユーザーを狙った悪意のあるウェブページとOfficeドキュメントという2つの方法によって標的型攻撃で悪用されていたという。Googleでは、IEとOfficeのユーザーに対して、マイクロソフトが公開したFix itを適用するよう強く推奨している。