編集部からのお知らせ
「半導体動向」記事まとめ
「リスキリング」に関する記事まとめ

「Microsoft Office」に17年前からの脆弱性が発覚、月例パッチで修正

Liam Tung (ZDNet.com) 翻訳校正: 佐藤卓 長谷睦 (ガリレオ)

2017-11-16 12:04

 17年前に作成され、現在もシステム内に残っている「Microsoft Office」向けの実行ファイルに、遠隔でコードを実行される脆弱性が存在することが判明し、Microsoftがパッチをリリースした。この脆弱性は、「Windows 10」が備えている最新のエクスプロイト緩和機能のいずれによっても保護されていなかった。

 セキュリティ企業Embediの研究者が発見したこのバグは、Office向けの古いツール「Microsoft Equation Editor」(数式エディター)内に存在する。このツールの実行可能ファイルである「EQNEDT32.EXE」は、2000年に作られて以来、一度も改定されたことがなかった。

 このツールはOfficeドキュメントに数式を挿入するために使われていたが、「Office 2007」以降は不要になっていた。Embediでは、Microsoftが後方互換性を確保するためにこのツールを残したのではないかと推測している。

 Embediは、Microsoft自体がリリースしているセキュリティツール「BinScope」を利用して、この脆弱な実行可能ファイルを見つけ出した。BinScopeはバイナリを分析し、プロジェクトがMicrosoftの「セキュリティ開発ライフサイクル」(SDL)に準拠しているかどうかをチェックするツールだ。


Microsoft Officeの数式エディターに脆弱性が発見された。
提供:Embedi

 Microsoftは、米国時間11月14日に公開した11月の月例パッチで、今回見つかった脆弱性(CVE-2017-11882)に対応した。

 「この脆弱性が悪用されるには、ユーザーが影響を受けるバージョンのMicrosoft OfficeまたはMicrosoft『ワードパッド』ソフトウェアで、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります」とMicrosoftは書いている。

 攻撃者は、メールやウェブを用いて、この脆弱性を利用した攻撃を特定のユーザーに対して仕掛けることができるが、そのためには標的とするユーザーに不正なファイルを開かせる必要がある。

 「Windows 7」からWindows 10までのマシンに搭載された、すべてのサポート対象のOfficeはこのバグの影響を受ける。これには「Office 2007 Service Pack 3」から「Office 2016」までが含まれる。

Embediが公開した脆弱性を解説する動画(出典:Embedi/YouTube)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    なぜ、コンテナー技術を使うことで、ビジネスチャンスを逃さないアプリ開発が可能になるのか?

  2. セキュリティ

    2022年、セキュリティトレンドと最新テクノロジーについて、リーダーが知っておくべきこと

  3. ビジネスアプリケーション

    全国1,800人のアンケートから見えてきた、日本企業におけるデータ活用の現実と課題に迫る

  4. 運用管理

    データドリブン企業への変革を支える4要素と「AI・データ活用の民主化」に欠かせないテクノロジー

  5. 経営

    テレワーク化が浮き彫りにしたリソース管理の重要性、JALのPCセットアップを支えたソフトウエア

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]