フランスFrSIRTなどは12月14日,Microsoft Wordに新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWord文書を読み込むだけで,悪意のあるプログラムを実行される恐れがある。セキュリティ・ホールを突く検証コードも公開されている。これで,12月に入ってからWordに関するパッチ未公開セキュリティ・ホール(zero-day vulnerability)が3件公表されたことになる。
FrSIRTの情報によれば,今回報告されたセキュリティ・ホールは,米Microsoftが12月5日および12月10日に公表したセキュリティ・ホールのいずれとも異なるという(関連記事1,関連記事2)。詳細については明らかにされていないものの,12月に公表された過去の2件と同様に,悪質なWord文書ファイルを開くだけで,任意のプログラムを実行される危険なセキュリティ・ホールである。
ただし過去の2件とは異なり,セキュリティ・ホールを突いて悪質なプログラムを実行させる文書ファイル――すなわち,ゼロデイ攻撃――は確認されていない模様である。セキュリティ・ホールを突くことが可能であることを示す(セキュリティ・ホールの存在を証明する)検証コード(PoC)が公表されているだけである。加えて,その検証コードはWordを不正終了させるだけのもので,プログラムを実行させる“機能”はない。この検証コードは12月12日に公表されている。
イスラエルBeyond SecurityのSecuriTeam部門によれば,12月14日時点では,ほとんどのウイルス対策ソフトは,公開されている検証コード(文書ファイル)に対応していないという。29社の対策ソフトで調べたところ,わずか1社の製品だけが検証コードをウイルス(悪質なプログラム)として検出できたという。ただし,今後はいずれの製品でも対応すると予想される。
FrSIRTによれば,影響を受けるのはWord 2000/2002/2003,Word Viewer 2003,Word 2004 for Mac,Word 2004 v. X for Mac。Wordを含むスイート製品Works 2004/2005/2006も当然影響を受ける(ただし,Worksは英語版しか販売されていない)。
過去の2件と同じように,設定変更などによる回避策は存在しない。提供元(送信元)が信頼できないファイルは開かないことが回避策となる。提供元が信頼できる場合でも,覚えのないファイルについては安易に開かないほうがよい。知人や取引先から送られたように見せかけたメールに攻撃ファイルを添付した「スピア攻撃(特定の企業や組織を狙った攻撃)」である可能性は否定できない。
【12月15日お詫びと訂正】記事末の「FrSIRTの情報」のリンクが誤っておりました。現在は修正済みです。訂正してお詫びいたします。【以上,12月15日お詫びと訂正】
