Wordを狙うゼロデイ攻撃が確認されWordやOutlookのエディタに注意が必要です(2014年3月24日)

今日、こんなニュースが出ていました。

 

◆Wordを狙うゼロデイ攻撃発生、不正メールに注意

http://www.itmedia.co.jp/enterprise/articles/1403/25/news041.html

毎度のことですが、今回はwindows XPやOffice 2003のサポート切れが間近なので取り上げたいと思います。 

Microsoftからの情報なので日本国内で確認されたかどうかは定かではありませんがこのタイミングだと4月の更新で対応されるのかが気になるところ。

実際にWindows2000のサポート切れの際には切れた当月に修正パッチ出ていなかったのでどうなるのか。現状の対策はFix itの適用です。

米国時間24日に公開されたセキュリティアドバイザリがこちらになります。(英語)

https://support.microsoft.com/kb/2953095

並んで二つありますが、Fix it 51010が修正パッチです。

一部情報では51011と記載がありましたが51011は適用後に元に戻すためのものなので気をつけましょう。

 

日本語の情報は現状Jpcertの記事ですか。

◆2014年3月 Microsoft Word の未修正の脆弱性に関する注意喚起

http://www.jpcert.or.jp/at/2014/at140012.html 

 

この記事にもあるようにWordの脆弱性を突いたものではありますが、実は既定ではOutlookのエディタでWordを使っています。(メール本文編集時に入力する時など)

 

情報ではリッチテキストで受信したメール本文を編集する時だけでなくメールのプレビュー画面を表示した際にも動く可能性があるとのことなので悪意のあるスパムメールなどを受信した時にも注意が必要です。

こう頻繁に出てくると来月からはOffice 2007以降を使いたいところですね。(可能であれば…)

 ちなみにOutlook2003ってエディタでWordを使うか選べたんですね。知らなかった。。。2007以降は既定でWordを使っています。

◆Outlook2003メールの編集に Word を使用しないように設定するには

http://support.microsoft.com/kb/880478/ja 

 

今後の情報にも注目したいと思います。