米マイクロソフトは現地時間12日、Microsoft PowerPointに新たな脆弱性が見つかったことをSecurity Response Centerのブログで発表した。
今回見つかったのはメモリー破壊を起こす脆弱性で、その危険性を示す実証コードが公開された。悪用されるとコードを実行される可能性がある。影響を受けるのはPowerPoint 2003。現在調査を行なっているが、この脆弱性を突いた攻撃などの報告は今のところ受けていないという。
マイクロソフトは11日に最も深刻な「緊急」レベルを含む10件の月例パッチを公開したばかり。この中には、PowerPointの深刻な脆弱性の修正も含まれていた。そのわずか2日後には、もうこの実証コードが出回っていたことになる。
セキュリティベンダーの仏FrSIRTは今回の脆弱性を危険度が最も高い「Critical(4/4)」であると評価。影響はPowerPoint 2003のみならず、PowerPoint 2002、2000にも及ぶとしており、信頼できないオフィスファイルを保存したり、開かないよう注意を呼びかけている。
(2006/10/17 ネットセキュリティニュース)
■PoC published for MS Office 2003 PowerPoint)[英文](Microsoft Security ResponseCenter Blog!)
http://blogs.technet.com/msrc/archive/2006/10/12/poc-published-for-ms-office-2003-powerpoint.aspx
■Microsoft PowerPoint Presentation Handling Remote Code Execution (0day)[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/4031
■0-Day Thursday: PoC for Powerpoint Vulnerability, (Fri, Oct 13th))[英文](SANSInstitute)
http://isc.sans.org/diary.php?storyid=1781
■[4/5] Microsoft PowerPoint Unspecified Code Execution Vulnerability)[英文](Secunia)
http://secunia.com/advisories/22394/
【関連記事:ネットセキュリティニュース】
・マイクロソフト、10月度の月例セキュリティパッチを公開(2006/10/11)
・Windowsの脆弱性を悪用するウェブサイトが出現(2006/10/04)
・Windowsの脆弱性を突く危険な実証コード公開(2006/09/29)
・PowerPointにゼロデイ攻撃(2006/09/28)
・マイクロソフト、Word 2000の脆弱性でアドバイザリを公開(2006/09/08)
・Word 2000の未知の脆弱性を突くウイルス出回る(2006/09/06)