「Office」にゼロデイ脆弱性--4月度パッチ公開に合わせて明らかに

　まだパッチが用意されていないと思われる脆弱性3件が「Microsoft Office」から見つかった。McAfeeのセキュリティ研究者らが明らかにした。

　McAfee Avert Labsブログへの米国時間4月10日の書き込みによると、これらの脆弱性はセキュリティ関連の掲示板で報告されたという。ブログへの書き込みによると、これらの脆弱性のうち1件を除いてはDoS（サービス拒否）を引き起こし、結果的にアプリケーションをクラッシュさせるという。

　McAfeeの研究者Karthik Raman氏は10日、「ヒープをオーバーフローさせる脆弱性が1件あり、コードの実行に悪用される可能性がある」とブログに書き込んでいる。このような脆弱性は、ターゲットにした被害者をだまして不正なOfficeドキュメントを開かせる形で悪用されるのが一般的だ。

　Microsoftの関係者は電子メールで声明を出し、同社もバグレポートの調査を進めていることを明かした。ただし、現時点ではこれらの問題を悪用した攻撃を確認していないと、Microsoft関係者は語っている。

　これらの脆弱性は、月例パッチサイクルの一環としてMicrosoftが5件のセキュリティパッチを投入した当日に出てきた。同社は、先週リリースした緊急パッチの余波への対応にもまだ追われている。

　Raman氏は、「今回も、月例パッチ公開日前後になってまた新たにゼロデイの脆弱性が公表されたが、これも、来月の月例パッチ公開日まで可能な限り長くこれらの脆弱性を危険な状態にしておく狙いがあるのだろう」と書いている。

　サイバー攻撃者らは、Microsoftがパッチを公開する月例パッチ公開日（毎月第2火曜日）前後のタイミングを見計らって新たな攻撃を仕掛け、同社のセキュリティアップデートサイクルを悪用する方法を見つけ出した。これを受け、一部のセキュリティ観測筋は、このような戦略を「ゼロデイ水曜日」と呼ぶようになった。

　McAfee（本社：カリフォルニア州サンタクララ）ではまだこのセキュリティ関連の脆弱性の調査を続けている。セキュリティ調査およびコミュニケーションマネージャーDave Marcus氏によると、これらは必ずしも新しい脆弱性ばかりではない可能性もあるという。同氏は、「ゼロデイと呼ばれるものでも、実際には既知のものと同類の場合もある」と語っている。

　これら3件のOfficeのバグが新しいものだとすると、パッチの対応を待つ同生産性スイートのゼロデイ脆弱性は5件に増えることになる。eEye Securityのゼロデイ脆弱性トラッカーによると、Officeからはこれまでに2つの脆弱性が見つかっているが、10日には同ソフトウェア用のパッチが1つも公開されなかったという。