Digital Arts News Watch

マイクロソフトの統合アプリケーション「Microsoft Office」に、新たな脆弱性「CVE-2017-11882」が存在することが、11月15日に公表されました。これを受け、独立行政法人情報処理推進機構（IPA）も注意を呼びかけています。

この脆弱性は、Microsoft Officeの付属コンポーネントの1つ Microsoft Office「数式エディタ」に存在するバッファオーバーフローの脆弱性で、細工されたOffice文書を閲覧した場合に、任意のコードが実行されてしまう可能性があります。対象となるバージョンは、Microsoft Office 2007（Service Pack 3）、Microsoft Office 2010（Service Pack 2）、Microsoft Office 2013（Service Pack 1）、Microsoft Office 2016の32/64ビット版です。

すでに、この脆弱性を使った攻撃が発生しており、Japan Vulnerability Notesでは、「JVN番号：90967793」として、詳しい情報および対策方法の手順を紹介しています。

この攻撃がやっかいなのは、「Microsoft Office」本体でなく、コンポーネントである Microsoft Office「数式エディタ」の脆弱性を狙っているため、「Microsoft Office」に対して保護機能を発揮するセキュリティプログラムでも、場合によっては攻撃を防げない点です。たとえば、標準機能として提供されている「EMET」「Windows Defender Exploit Guard」では、保護が働きません。攻撃を受けた場合、PCを乗っ取られる可能性もあり、非常に危険な脆弱性と言えるでしょう。

本脆弱性に対してマイクロソフトは、11月15日に修正プログラムを公開済みです。利用者は、Windows Updateなどでバージョンアップを行うのが望ましいでしょう。利用状況によりアップデートが難しい場合は、数式エディタを無効化してください。

＜ 記事提供元：株式会社イード ＞

サイバー攻撃に対するセキュリティ対策には「i-FILTER」Ver.10×「m-FILTER」Ver.5をおすすめします。