Microsoft のグラフィックスコンポーネントに未解決の脆弱性を利用した標的型攻撃の注意喚起
■ 概要
先日(11月7日)にお知らせしました,「Microsoftのグラフィックスコンポーネントに未解決の脆弱性」を利用した標的型メール攻撃が観測されたとIPA(独立行政法人情報処理推進機構)が発表しました.攻撃メールの件名,本文,添付ファイル名ともに日本語が使われており,皆様には十分な注意をお願いします.
添付ファイルを開いたりプレビューしたりすると,文書に仕込まれた不正なグラフィックスイメージを使って脆弱性を悪用され,攻撃者に権限を獲得されて任意のコードを実行される恐れがあります.
■ 対象
Windows Operating System
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Microsoft Office Suites and Software
- Microsoft Office 2003 Service Pack 3
- Microsoft Office 2007 Service Pack 3
- Microsoft Office 2010 Service Pack 1 (32-bit editions)
- Microsoft Office 2010 Service Pack 2 (32-bit editions)
- Microsoft Office 2010 Service Pack 1 (64-bit editions)
- Microsoft Office 2010 Service Pack 2 (64-bit editions)
- Microsoft Office Compatibility Pack Service Pack 3
■対策
2013年11月21日現在,Microsoft 社より本件に関するセキュリティ更新プログラムは公開されておりません.
Microsoft 社より次の軽減策が公開されています.セキュリティ更新プログラムを適用するまでの間の暫定対策として,本軽減策を適用するかどうか検討してください.
Microsoft Fix it 51004 を適用する
Microsoft Security Advisory: Vulnerability in Microsoft graphics component could allow remote code execution
本 Fix it を適応するには,Web ページ中ほどの「Enable this Fix it の Fix this problem 」をクリックし,Microsoft Fixit51004.msi を実行します.
これにより TIFF 画像が表示されなくなります.また,本件に対応したセキュリティ更新が発表され適応した後には,本 Fix it を解除「Disable this Fix it の Fix this problem 」をクリックし同様に実行する必要があります.
■ 関連文書
IPA.
Microsoft Office 等の脆弱性対策について(CVE-2013-3906)
Microsoft Corporation.
マイクロソフト セキュリティ アドバイザリ (2896666)
| 関連情報 | 2013年11月 Microsoft Graphics Component の未修正の脆弱性に関する注意喚起(JPCERT/CC) Security Advisory for Microsoft Graphics Component(US-CERT) |
| お問い合わせ | 項目1 電話番号:075-753-7490(内線7490) E-mail:i-s-office 画像
お問い合わせフォーム |