マイクロソフトは27日、「Word 2000」のゼロデイ攻撃に関する新たな報告について、調査中とするアドバイザリを公開した。同社は、不正な形式の文字列を使って細工したWordファイルを表示するとメモリ破損が起き、任意のコードが実行される可能性があるとし、現在セキュリティ更新プログラムの開発を進めているという。
新たなゼロデイ攻撃の報告は、シマンテックが同社の公式ブログで公表したもの。細工されたWordファイルを開くとドキュメント内に埋め込まれたプログラムが投下・実行され、バックドアを開くトロイの木馬が仕掛けられる。同社は当初、年末に見つかった3件の脆弱性のひとつを悪用したものとしていたが、その後の調査で、これらとは別の新たな脆弱性だったことが判明。現地時間25日、4個目の脆弱性報告となった。これまでのものと異なり、今回の脆弱性はWord 2000のみに影響する。
当面の回避策としては、信頼できないWordファイルを開かないこと。Word 2000を含むOffice 2000ファミリーは、Internet Explorer上でドキュメントファイルをクリックすると自動的に開いてしまうため、マイクロソフトが配布している「Officeファイルを開くときに確認するツール」のインストールをお勧めする。当該ツールをインストールすると、Office 2002以降と同様に、ファイルを開く前に[開く]、[保存]、[キャンセル]の確認画面が表示されるようになる。また、主要なセキュリティ対策ツールは、すでに検出・駆除に対応しているので、定義ファイルを最新の状態にしておきたい。
(2007/01/29 ネットセキュリティニュース)
■Officeファイルを開くときに確認するツール
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=8B5762D2-077F-4031-9EE6-C9538E9F2A2F
■マイクロソフト セキュリティ アドバイザリ (932114) Microsoft Word 2000 の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/932114.mspx
■New Microsoft Word 2000 Vulnerability[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/01/new_microsoft_word_2000_vulner.html
■Microsoft Word Unspecified Code Execution Vulnerability[英文](Secunia)
http://secunia.com/advisories/23950/
■Microsoft Word Document Handling Unspecified Memory Corruption Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/0350
【ウイルス情報】
・Trojan.Mdropper.W(Symantec)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.mdropper.w.html
・Exploit-MSWord.d [英文](McAfee)
http://vil.nai.com/vil/content/v_141352.htm
・TROJ_MDROPPER.EQ [英文](TrendMicro)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FMDROPPER%2EEQ
【関連記事:ネットセキュリティニュース】
・【ゼロデイ】Wordに今月3件目の脆弱性が見つかる~実証コード公開(2006/12/15)
・【ゼロデイ攻撃】Wordにまた深刻な脆弱性~悪用するウイルスも確認(2006/12/12)
・【ゼロデイ攻撃】Wordに未修正の脆弱性~マイクロソフト、アドバイザリ公開(2006/12/07)