Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Officeにゼロデイ脆弱性、標的型攻撃が発生中 - MSは「Fix it」を公開

米Microsoftは、同社製品に含まれるグラフィックスコンポーネントに未修正の脆弱性が存在し、脆弱性を狙ったゼロデイ攻撃が発生しているとして、「Fix it」など緩和策の実施を呼びかけている。

20131106ms_001.jpg
回避策として公開された「Fix it」

「Windows」や「Office」「Lync」など同社製品に含まれるグラフィックスコンポーネントにおいて、リモートからコード実行が可能となる脆弱性「CVE-2013-3906」が判明したもの。

同社によれば、「TIFFファイル」の処理に問題があり、細工されたファイルを開いたり、プレビューで表示して脆弱性が攻撃を受けた場合、端末の制御が奪われる可能性があるという。

すでに同社では、Officeを対象とした標的型攻撃を確認しており、同社では詳細について調査を進めると同時に、「Microsoft Active Protections Program(MAPP)」を通じてセキュリティベンダーなどと情報を共有した。

同社は、セキュリティ更新プログラムの開発を進めている。さらに回避策として「TIFF」ファイルの処理を無効化する「Fix it」を公開。また脆弱性緩和ツールである「EMET(Enhanced Mitigation Experience Toolkit)」の活用を呼びかけている。

(Security NEXT - 2013/11/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

「LINE」にプロフ画像変更される脆弱性 - ゼロデイ攻撃被害も、利用者に確認呼びかけ
「Webmin」のソースコード改ざんで脆弱性、攻撃コード公開 - アクセス増加の観測も
「Firefox」がわずか2日で再度アップデート - サンドボックス回避の脆弱性を修正
Windowsタスクスケジューラにゼロデイ脆弱性 - 悪用に警戒を
ゼロデイ攻撃への悪用目立つ「権限昇格の脆弱性」
WP向けソーシャルボタンプラグインにゼロデイ攻撃 - アップデートが緊急公開
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
「Chrome」へのゼロデイ攻撃が明らかに - 早急に最新版へ更新を
WP向け寄付管理プラグインに深刻な脆弱性 - ゼロデイ攻撃発生中