米MicrosoftのMicrosoft Security Response Center(MSRC)は米国時間5月19日ならびに5月20日,Microsoft Wordに見つかった新しい脆弱性(セキュリティ・ホール)に関するコメントを発表した。それによれば,今回の脆弱性を修正するパッチは,次回のセキュリティ情報公開日である6月13日(日本時間6月14日)にはリリースするという。

 Microsoft Word XP/2003にはパッチ未公開の脆弱性が見つかっており,その脆弱性を突くプログラム(ファイル)が出回っていることが確認されている(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。脆弱性を悪用するWordファイルがメールに添付されて,特定の組織に向けて送られているという。Word XP/2003がインストールされた環境でそのファイルを開くと,あるWebサイトに置かれた悪質なプログラム(ボット)が勝手にダウンロードされて実行されてしまう。なお,Word viewerは今回の脆弱性の影響を受けない。

 MSRCが確認している悪質メールの件名は,「Notice」および「RE Plan for final agreement」。ほとんどの場合,メール送信者のドメイン名には,受信者のドメイン名に似せた文字列を使って,同じドメインから送られてきたメールに見せかけるという。

 MSRCによれば,今回の脆弱性は深刻だが,ファイルを開かなければ攻撃を受けることはないとしている。また,脆弱性を突く攻撃は,現時点では極めて限定的であるという。加えて,ウイルス対策ソフトの多くは,最新のウイルス定義ファイル(パターンファイル)において,今回の脆弱性を突くファイルに対応済み。

 同社のOfficeチームは,今回の脆弱性を解消する修正パッチを作成中。現在は検証段階にあるという。現時点では,次のセキュリティ情報公開日である6月13日(日本時間6月14日)には公開できる予定。検証作業が終了すれば,それよりも前倒しで公開する可能性もあるとしている。

◎参考資料
A quick check-in on the Word vulnerability
Reports of a new vulnerability in Microsoft Word