Windows VistaやOffice 2003/2007/2010などに脆弱性、中東でゼロデイ攻撃

　「Microsoft Graphics Component」に未修正の脆弱性が見つかったことを、米Microsoftが5日、公表した。この脆弱性を悪用する標的型攻撃がすでに確認されているという。

　脆弱性の影響を受けるソフトウェアは、Windows Vista、Windows Server 2008、Office 2003/2007/2010、Office 互換機能パック、Lync 2010/2013、Lync Basic 2013。

　一方、最新バージョンであるWindows 8.1/8、Windows RT 8.1/RT、Windows Server 2012/2012 R2、Office 2013/2013 RTのほか、Windows 7/XP、Windows Server 2008 R2/2003などは影響を受けないとしている。

　Microsoftが5日付で出したセキュリティアドバイザリ（2896666）によると、この脆弱性はTIFF画像ファイルの処理に起因するもの。細工を施したTIFF画像ファイルをユーザーに開かせたり、それを含むウェブコンテンツの閲覧、メールのプレビューまたは開封をさせることで、攻撃者はリモードでコードを実行できるとしている。攻撃に成功すると、ログインしているユーザーと同等の権限が攻撃者に取得されてしまうという。

　この脆弱性を悪用した標的型攻撃として、細工されたWordファイルをメール添付で送られてくる事例が、中東や南アジアの広い範囲で確認されているとしている。

　現在、Microsoftではこの脆弱性について調査を進めており、完了しだい必要な対策をとる。必要に応じて、定例または定例外のセキュリティ修正パッチでの対応も考えられるとしている。

　そのためMicrosoftでは、パッチが提供されるまでの暫定的な軽減策として、TIFFコーデックを無効化する「Fix it」の適用（ただしTIFF画像が表示されなくなる）や、 Enhanced Mitigation Experience Toolkit（EMET）を使用することを挙げている。