米Trend Microなどが現地時間8月21日に発表した情報によれば,8月19日ごろに話題となったMicrosoft PowerPointのセキュリティ・ホール(脆弱性)を突く文書ファイル(PPTファイル)は,未知のセキュリティ・ホールを突く「ゼロデイ(0-day)攻撃」ではなく,既知のセキュリティ・ホールを悪用するものであることが明らかとなった。
Trend Microは8月17日付けで,セキュリティ・ホールを突いて感染する(勝手に活動を開始する)PowerPointの新しい文書ファイルが確認されたと発表した(関連記事:またもや「ゼロデイ攻撃」か,PowerPointの脆弱性を突く新たな文書ファイル出現)。このファイルは「TROJ_MDROPPER.BH」と呼ばれ,ファイルを開くと「TROJ_SMALL.CMZ」という実行形式ファイルが生成され実行される。動き出したTROJ_SMALL.CMZは,特定のサイトから別の悪質なプログラムをダウンロードして実行するという。
当初,「TROJ_MDROPPER.BHは未知のセキュリティ・ホール(unknown system vulnerability)を突く」とされていたために,TROJ_MDROPPER.BHはゼロデイ攻撃である可能性があるとして一部で話題になったものの,その後,Trend Microでは情報を修正し,「Microsoft Office の脆弱性により,リモートでコードが実行される (905413) (MS06-012)」を悪用するものであることを明らかにした。
「MS06-012」はMicrosoft Office製品に関するセキュリティ情報で,6種類のセキュリティ・ホールが含まれる(関連記事:WindowsとOfficeにセキュリティ・ホール)。いずれも細工が施された文書ファイルを開くだけで,任意のプログラムを実行される恐れがあるセキュリティ・ホールである。TROJ_MDROPPER.BHが悪用するセキュリティ・ホールは,6種類のいずれであるかについては明らかにされていない。
