セキュリティ組織の米SANS Instituteなどは現地時間8月19日,Microsoft PowerPointのセキュリティ・ホール(脆弱性)を突く文書ファイル(PPTファイル)が確認されたとして注意を呼びかけた。現時点では詳細は不明だが,修正パッチ(セキュリティ更新プログラム)未公開のセキュリティ・ホールを突く「ゼロデイ攻撃」である可能性があるという。
マイクロソフトは8月9日,PowerPointなどのMicrosoft Office製品が影響を受けるセキュリティ・ホール「Microsoft Office の脆弱性により,リモートでコードが実行される (922968) (MS06-048)」を公表し,同時に修正パッチをリリースした(関連記事:WindowsやOfficeに12件のセキュリティ・ホール)。しかし,今回確認された文書ファイルは「MS06-048」とは異なるセキュリティ・ホールを突いている可能性があるという。
米Trend Microでは,今回確認されたPowerPoint文書ファイルを「TROJ_MDROPPER.BH」と命名。このファイルを開くと未知のセキュリティ・ホール(unknown system vulnerability)を突かれて,Windowsの一時フォルダに実行形式ファイルが作成され,実行されるという。
同社ではこの実行形式ファイルを「TROJ_SMALL.CMZ」としている。このTROJ_SMALL.CMZは,いわゆる「ダウンローダ」であり,実行されると特定のサイトから別の悪質なプログラムをダウンロードして実行するという。ただし,現時点ではそれらのサイトへはアクセスできない状態になっている。
TROJ_MDROPPER.BHが突くセキュリティ・ホールの詳細については明らかにされておらず,新しいセキュリティ・ホールであるかどうかも現時点では確実ではない。マイクロソフトからも,この件に関する情報は公表されていない。ユーザーとしては,現在公開されている修正パッチを適用したうえで,「ファイルの種類にかかわらず,信頼できないファイルは開かない」ことが重要である。
・米SANS Instituteの情報(1)
・米SANS Instituteの情報(2)
・米Trend Microの情報(1)
・米Trend Microの情報(2)