1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. Windowsの「Microsoft OLE」に未修正のゼロディ脆弱性が確認される

Windowsの「Microsoft OLE」に未修正のゼロディ脆弱性が確認される

Windowsの「Microsoft OLE」に未修正のゼロディ脆弱性が確認されるマイクロソフト社は、10月21日、Windowsのアプリケーション間でデータを転送、共有する仕組みである「Microsoft OLE」に未修正の脆弱性が確認されたとして、セキュリティアドバイザリ「3010060」を公開し、注意を呼びかけた。同社によると、既にこの脆弱性を悪用したPowerPointファイルを用いた標的型攻撃が確認されているという。

影響を受けるのは、Windows Server 2003を除く、サポートされるすべてのバージョンのWindowsで、脆弱性が悪用されると、細工されたOfficeファイル(PowerPointファイルなど)を開いたりしたときに、パソコンを遠隔地から乗っ取られる可能性がある。

現在のところ、この脆弱性についてのセキュリティ更新プログラムは提供されていないため、同社では脆弱性から保護するための回避策として、「Fix it」と脆弱性緩和ツールである「EMET」を公開し、利用を推奨している。なお、Fix itの詳細はサポート技術情報 3010060を、EMETについての詳細はセキュリティ アドバイザリ 3010060を参照して欲しい。

マイクロソフト サポート技術情報 3010060
マイクロソフト セキュリティ アドバイザリ 3010060
セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開(日本のセキュリティチーム)
Windowsに新たなゼロディ脆弱性、PowerPoint悪用の標的型攻撃も既に発生(INTERNET Watch)

<追記>
11月12日に当該脆弱性に対する更新プログラムが公開されました。

Windows OLE の脆弱性により、リモートでコードが実行される(3011443)(マイクロソフト セキュリティ情報 MS14-064)

関連キーワード:

EMET

Microsoft Office

Windows

ゼロディ脆弱性

マイクロソフト

  • Heartbleed(ハートブリード)とは
  • カテゴリートップへ
  • アップルがOS X向けの最新版「10.10」とiOSの最新版「8.1」を公開