米マイクロソフトは米国時間2014年3月24日、「Word」に新たな脆弱性が見つかったことを明らかにした。細工が施された文書ファイルを開くだけで、PCを乗っ取られるなどの被害に遭う恐れがある。実際、脆弱性を悪用した標的型攻撃が確認されている。セキュリティ更新プログラム(パッチ)は未公開。
影響を受けるのは、Word 2003/2007/2010/2013、Word Viewer、Office for Mac 2011など。現在サポート対象になっている全てのバージョンのWordに加え、ViewerやMac版の一部も影響を受ける。
今回発覚した脆弱性は、リッチテキストフォーマット(RTF)ファイルの処理に関するもの。細工が施されたRTFファイルを読み込むだけで、中に仕込まれたプログラム(ウイルスなど)が勝手に実行され、PCを乗っ取られる恐れなどがある。
実際、Word 2010の脆弱性を突く標的型攻撃が確認されている。パッチが公開されていない脆弱性を突く攻撃なので、いわゆる「ゼロデイ攻撃」である。
今回の脆弱性はWordに関するものだが、Outlookユーザーも十分注意する必要がある。初期設定では、Outlook 2007/2010/2013のメールリーダーはWordであるからだ。細工が施されたRTFファイルがメールで送られてきた場合には、そのメールをプレビューするだけで被害に遭う恐れがある。
パッチは未公開だが、マイクロソフトでは、今回の脆弱性の影響を軽減するための「Fix it」を公開している。今回のFix itは、同社の「サポート技術情報 2953095」から適用できる(写真)。
今回公開されたFix itを適用すると、WordにおいてRTFファイルが無効になり、脆弱性を突かれる恐れがなくなる。その代わり、WordではRTFファイルを参照および編集できなくなるので、ワードパッドなど別のソフトウエアを利用する必要がある。