is702

「Word」に未修正の脆弱性

2014/03/25

JPCERTコーディネーションセンター(JPCERT/CC)と独立行政法人情報処理推進機構(IPA)は3月25日、マイクロソフトが提供する「Microsoft Word」に、未修正の脆弱性が存在することをあきらかにしました。

それによると、Microsoft Wordには未修正の脆弱性(CVE-2014-1761)があり、悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があるとのことです。具体的には、細工したリッチテキストフォーマット(RTF形式)のファイルをユーザに開かせたり、Microsoft Outlookでプレビューさせたりすることで任意コードを実行させることが可能となります。

脆弱性が存在するのは、「Microsoft Word 2003」「Microsoft Word 2007」「Microsoft Word 2010」「Microsoft Word 2013」「Microsoft Word Viewer」など。また「Microsoft Outlook 2007」「Microsoft Outlook 2010」「Microsoft Outlook 2013」では、Microsoft Wordがデフォルトのメールリーダとなっており、Microsoft Outlookでプレビューするだけで、攻撃の影響を受ける可能性があります。

マイクロソフトによると、本脆弱性を悪用する標的型攻撃が、すでに確認されています。また現時点では、マイクロソフトよりセキュリティ更新プログラムは公開されていません。セキュリティ更新プログラムを適用するまでの間の暫定対策としては、「Microsoft Fix it 51010」が「Microsoft security advisory」で公開されており、これを適用することで、Microsoft WordおよびMicrosoft Outlookにおいて、RTF形式のファイルを参照・編集不可にできます。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ