ニュース
OLEオブジェクトにゼロデイ脆弱性、Microsoftが暫定対策プログラムを公開
「Microsoft PowerPoint」ファイルを利用した限定的な標的型攻撃を確認済み
(2014/10/22 13:33)
米Microsoft Corporationは21日(現地時間)、WindowsのOLEオブジェクトの処理に脆弱性があり、リモートでコードを実行される恐れがあることを明らかにした。本脆弱性は、Windows Server 2003を除くすべてのバージョンのWindowsに影響する。
“OLE(Object Linking and Embedding)”とは、アプリケーション間でデータをやり取りするための仕組みの1つ。たとえば「Microsoft Office」では、「Word」で編集中の文書ファイルに「Excel」で作成した表を埋め込む(リンク オブジェクト)といった用途に用いられている。「Excel」で表を編集すると、「Word」のドキュメントに埋め込んだ表も自動で反映されて便利だ。
同社が公開したセキュリティアドバイザリ(3010060)によると、すでに細工が施された「Microsoft PowerPoint」ファイルを利用して脆弱性を悪用しようとする限定的な標的型攻撃が確認されているとのことで、これに暫定的な対策を施すプログラム「Microsoft Fix it 51026」が公開されている。現在、同社のセキュリティアドバイザリページからダウンロードできる。
なお、そのほかにもWindowsの“ユーザー アカウント制御(UAC)”機能を有効化する(初期状態で有効)、「Enhanced Mitigation Experience Toolkit(EMET)」を利用するといった対策が有効であるという。また、出所の怪しいファイルを安易に開かないといった心がけも重要。「Microsoft PowerPoint」に限らず、“OLE”機能はサードパーティー製ソフトでも幅広く利用されているので注意が必要だ。