米Sourcefireは現地時間5月26日,Microsoft Wordに見つかったパッチ未公開の脆弱性(セキュリティ・ホール)を突くWordファイル(.doc)を調べるための無償ツールを公開した。
Microsoft Wordには,修正パッチ(セキュリティ更新プログラム)が未公表の脆弱性が見つかっている(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。脆弱性を突くWord ファイルが一部で確認されているものの(関連記事:「Wordの脆弱性を突く攻撃は限定的」),米Microsoftからパッチが公開されるのは6月になる見込み(関連記事:「Wordのパッチは,遅くても“6月の定例公開日”にリリースする」)。
公開されたツール「DocCheck」は,コマンド・ラインから実行するシンプルなツール。特定のWordファイルを引数にして実行すれば,そのファイルに脆弱性を突くプログラム(コード)が含まれているかどうかをチェックできる。
ツールは「Snort.org」のサイトからダウンロードできる。ZIP形式で圧縮されており,展開(解凍)すればすぐに利用可能である。
併せて,侵入検知システム(IDS)である「Snort」用のルール(シグネチャ)も公開した。脆弱性を突くWordファイルが生成する悪質なプログラムの1つ(「Ginwui.B」などと呼ばれる)は,DNSサーバーに対して特定の問い合わせをおこなうことが明らかになっている。ルールは,この問い合わせを検出することで,Ginwui.Bが動作していることを検知しようとするもの。
◎参考資料
◆Sourcefire VRT Advisory
