Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Wordにあらたな脆弱性、ゼロデイ攻撃が発生 - MSが緩和策「Fix it」を緊急公開

米Microsoftは、Wordにおける未修正の脆弱性に対するゼロデイ攻撃が発生していることを明らかにした。セキュリティ更新プログラムの開発を進めるとともに、「Fix it」の提供を開始している。

今回明らかになった脆弱性「CVE-2014-1761」は、細工したリッチテキストファイル(RFTファイル)を開くとメモリが破壊され、リモートよりコード実行が可能となるもの。「Word 2010」を対象としたゼロデイ攻撃が発生している。

Outlook 2007以降ではWordをメール表示に利用しており、プレビュー表示を行っただけで攻撃を受けるおそれがある。

同社では、定例外の可能性を含め、セキュリティ更新プログラムの開発を進めている。またMicrosoft Active Protections Program(MAPP)によりセキュリティベンダーと情報を共有するなど対策を進めている。

さらに脆弱性の緩和策として、WordによりRTFファイルを開くことを制限する「Fix it」を用意した。ウェブサイトより適用することができる。

(Security NEXT - 2014/03/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

「EC-CUBE」の無償診断サービスが緊急脆弱性に対応 - 痕跡調査も
Adobe、13製品向けにセキュリティアップデートを公開
「Adobe Acrobat/Reader」に14件の脆弱性、アップデートが公開 - すでにゼロデイ攻撃も
VPN製品「Pulse Connect Secure」にアップデート - ゼロデイ脆弱性など修正
「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘
「Pulse Connect Secure」脆弱性で国内法人もアナウンス
VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬
「SonicWall Email Security」にゼロデイ攻撃 - 修正プログラムがリリース
米政府、「Pulse Connect Secure」のゼロデイ脆弱性対応で緊急指令
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定