米Microsoftは現地時間5月22日,Microsoft Wordに見つかった脆弱性(セキュリティ・ホール)に関するアドバイザリ(Security Advisory)を公開した。アドバイザリでは,修正パッチ(セキュリティ更新プログラム)がリリースされるまでの回避策として「メール・ソフトのエディタにWordを使わない」「Wordを『セーフ モード』で使う」---ことなどを挙げている。
Wordには,修正パッチが未公開の脆弱性が見つかっている(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。影響を受けるのは,Word 2002/XPおよびWord 2003。Word 2000やWord Viewer 2003は影響を受けないとしている。
細工が施されたWordファイル(.DOCファイル)を開くと,ファイルに仕込まれた任意のプログラムを実行される恐れがある。実際,そのようなファイルを添付したメールが,特定の組織に向けて送られていることが確認されている(関連記事:「Wordの脆弱性を突く攻撃は限定的」)。
現時点でも修正パッチは未公開だが,Microsoftでは今回の脆弱性に関する情報を公開した。それによると,修正パッチの作成作業は完了しており,現在は他のアプリケーションとの互換性などを検証しているところであるという。次回のセキュリティ情報公開日である6月13日(日本時間6月14日)にはリリースできる予定で,検証作業が終了すれば,それよりも早くリリースできる可能性があるとしている(関連記事:「Wordのパッチは,遅くても“6月の定例公開日”にリリースする」)。
同社では,修正パッチを適用するまでの回避策として,「メール・ソフトのエディタにWordを使わない」「Wordを『セーフ モード』で使う」ことなどを挙げている。例えば,Outlookなどはデフォルト・エディタにWordが設定されているので,その設定を解除することが,影響を小さくするための対策となる。アドバイザリには,Outlookの設定を変更する手順が書かれているので,Outlookユーザーは参考にしてほしい。
Wordをセーフ モード(SAFE MODE)で利用することも回避策になるという。セーフ モードではWordの機能がいくつか制限されるものの,今回の脆弱性を悪用される恐れはなくなるという(Microsoftの情報:「About Office Safe Mode」)。Word(winword.exe)に「/safe」オプションをつけて起動すれば,セーフ モードになる。アドバイザリでは,/safeオプションを付けたショートカットを作成して,そのショートカットからWordを起動する手順を紹介している。
Wordファイルを作成/編集する必要がなければ,Word Viewer 2003を使うことも回避策となる。Word Viewer 2003は,同社サイトから無償でダウンロードできる(Word Viewer 2003のダウンロード・サイト)。
【5月23日追記】マイクロソフトは5月23日,今回のアドバイザリの日本語版「Microsoft Word の脆弱性により,リモートでコードが実行される」を公開した。【以上,5月23日追記】
◎参考資料
◆Microsoft Security Advisory (919637) Vulnerability in Word Could Allow Remote Code Execution
