Microsoft Wordに未修正の脆弱性……Outlookのプレビューでも攻撃可能

ブロードバンドセキュリティ

2014.3.25（火） 14:00

「Fix it 51010」を適用することで、一時的に攻撃を回避できる（元に戻すには「Fix it 51011」を適用）全 2 枚

　情報処理推進機構（IPA）およびJPCERTコーディネーションセンター（JPCERT/CC）は3月25日、「Microsoft Word」に未修正の脆弱性があるとして、注意喚起する文章を公開した。

　それによると、「Microsoft Word」には未修正の脆弱性（CVE-2014-1761）があり、細工したリッチテキストフォーマット（RTF形式）のファイルをユーザーに開かせたり、Microsoft Outlookでプレビューさせたりすることで、任意のコードを実行させることができるという。

対象となる製品とバージョンは、Microsoft Word 2003／2007／2010／2013、Microsoft Word Viewerなど。またMicrosoft Outlook 2007／2010／2013では、Microsoft Wordがデフォルトのメールリーダとなっているため、Outlookでプレビューするだけで、攻撃の影響を受ける可能性がある。

マイクロソフト社によると、すでに本脆弱性を悪用した標的型攻撃が確認されているとのこと。一方で25日現在、マイクロソフト社からセキュリティ更新プログラムは公開されていない。回避策として「Fix it 51010」が公開されている。Fix itを適用すると、Microsoft Word、およびMicrosoft Outlookにおいて、RTF形式のファイルを参照、編集することができなくなる。

《冨岡晶》