Windowsにゼロディ脆弱性、Officeを悪用した攻撃が可能 - JPCERT/CC

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は10月22日、「JPCERT/CC Alert - 2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起」において、Microsoft OLEに存在する未修正のセキュリティ脆弱性について伝えた。該当するソフトウェアを使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。

セキュリティ脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8 for 32-bit Systems
Windows 8 for x64-based Systems
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1

このセキュリティ脆弱性が悪用された場合、細工されたMicrosoft Officeファイルを開くだけで任意のコードが実行される危険性がある。このセキュリティ脆弱性を悪用した攻撃がすでに確認されたと説明があるが、Microsoftからセキュリティアップデートはまだ提供されていない。次のアップデートが提供されるまでの回避策として「Microsoft Fix it 51026」が公開されており、こうした回避策の適用なども検討することが推奨されている。