1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. マイクロソフト製品のグラフィックスコンポーネントに未修正の脆弱性

マイクロソフト製品のグラフィックスコンポーネントに未修正の脆弱性

マイクロソフト製品のグラフィックスコンポーネントに未修正の脆弱性マイクロソフト社は、11月6日、同社製品のグラフィックスコンポーネントに未修正の脆弱性があることが確認されたとして、セキュリティアドバイザリを公開した。

この脆弱性は、グラフィックスコンポーネントのTIFF形式の画像ファイル処理に問題があるというもので、結果として、悪意のある第三者によって、遠隔から任意のコードを実行される可能性がある。影響を受けるのは、Windows VistaとServer 2008、Microsoft Office 2003/2007/2010、Microsoft Office 互換機能パック、およびMicrosoft Lyncの全バージョンだ。同社によると、中東や南アジアの広い範囲で、本脆弱性を悪用し、細工を施したTIFF形式の画像や、それを含むWordファイルやExcelファイルなどをユーザーに開かせようとする標的型攻撃が確認されているという。

現在のところ、この脆弱性についてのセキュリティ更新プログラムは提供されていないため、同社では脆弱性から保護するための回避策として、TIFF画像の描画を無効にする「Fix it」と脆弱性緩和ツールである「EMET」を公開し、利用を推奨している。なお、Fix itの詳細はサポート技術情報 2896666を、EMETについての詳細はサポート技術情報 2458544を参照して欲しい。

マイクロソフト セキュリティ アドバイザリ (2896666): Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される
2013年11月 Microsoft Graphics Component の未修正の脆弱性に関する注意喚起(JPCERT/CC)
MS製品の未修正の脆弱性を突くゼロデイ攻撃〜「Fix It」の適用を(セキュリティ通信:So-netブログ)

<追記>
12月11日に当該脆弱性に対する更新プログラムが公開されました。

Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される(2908005)(マイクロソフト セキュリティ情報 MS13-096)

関連キーワード:

マイクロソフト

脆弱性

  • クリスマスシーズンを狙ったフィッシング詐欺等に注意
  • カテゴリートップへ
  • 2013年11月のIT総括