ニュース

Wordにゼロデイ脆弱性、修正パッチ提供までの回避策として「Fix it」を公開

 米Microsoftは24日、Wordの新たな脆弱性が発見されたとして、セキュリティアドバイザリを公開した。この脆弱性を悪用する標的型攻撃も発生している。Microsoftではセキュリティ更新プログラム(修正パッチ)を現在開発中で、修正パッチ提供までの回避策として、設定を自動的に変更するツール「Fix it」を公開している。

 発見された脆弱性「CVE-2014-1761」は、RTF形式のファイルをWordで表示した際に、任意のコードを実行させられる可能性があるもの。既に、Word 2010を対象として、この脆弱性を悪用する限定的な標的型攻撃が確認されているという。

 脆弱性の影響を受けるソフトは、Word 2013/2010/2007/2003、Word 2013 RT、Word Viewer、Office互換機能パック、Office for Mac 2011、Word Automation Services on Microsoft SharePoint Server 2013/2010、Office Web Apps 2010、Office Web Apps Server 2013。

 また、Outlook 2013/2010/2007では、Wordがデフォルトのメールリーダーとなっており、細工されたRTF形式のファイルをプレビューしただけで攻撃の影響を受ける可能性がある。

 Microsoftでは、セキュリティ更新プログラムを提供するまでの暫定的な対策として、設定を自動的に変更するツール「Fix it」を公開している。Fix itを適用した場合、WordやOutlookでRTF形式のファイルの参照や編集はできなくなる。RTF形式のファイルの参照や編集には、ワードパッドなど別のアプリケーションを使用する必要がある。

(三柳 英樹)