5年もパッチ未適用なの？　カスペルスキーが未だ存在する「CVE-2017-11882」の悪用を危惧

カスペルスキーの公式ブログ

　カスペルスキーによると、「Microsoft Office」の「数式エディター」における任意コード実行の脆弱性（CVE-2017-11882）はいまだに悪用がかなり多いとのこと。ちなみに、この脆弱性に対する修正がリリースされたのは、2017年11月のことだ。

「Microsoft Office」の「数式エディター」（Microsoftの公式サイトより引用）

　「CVE-2017-11882」は、「数式エディター」におけるメモリ内オブジェクト処理の不備に起因する脆弱性。細工を施したファイルを開くだけでリモートから任意のコードを実行できる可能性があり、メールの添付ファイルとして送りつけたり、偽サイトへ誘導してダウンロードさせるといった手法で悪用が広がっている。2018年には「Office」でもっとも悪用された脆弱性となり、2020年の新型コロナウイルス感染症（COVID-19）感染拡大の際も、医療リソースの枯渇で診療が受けられないのではないかという不安に付け込んだメール攻撃で広く用いられてきた。

　とはいえ、この脆弱性にはすでに対策パッチがあり、しかも5年以上前から提供されている。いまだに本脆弱性の悪用が成功しているのは、「5年以上もパッチをインストールしていなかったことを意味するとしか思えない」と同社は驚きとともに指摘している。

　カスペルスキーは対策として、まず「Office」のセキュリティパッチを適用して常に最新の状態にすることを推奨。そのほか、管理者権限でオフィス文書を扱わない、脆弱性の悪用を阻止できるセキュリティソリューションを導入するなどを挙げ、徹底するよう呼び掛けている。