マイクロソフトは火曜日、過去5年間で最大のパッチリリースと合わせて、自社のソフトウェアに潜在的に危険な脆弱性がもう一つあると警告した。
マイクロソフトは勧告の中で、この問題は Word 97 ファイル用の WordPad テキスト コンバーター内に存在すると述べた。
マイクロソフトによると、影響を受けるシステムには、Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2 が含まれる。XP Service Pack 3 および Vista オペレーティングシステムは影響を受けない。
同社は、限定的な標的型攻撃が確認されていると述べた。この脆弱性が悪用された場合、ハッカーはPC上でローカルユーザーと同じ権限を取得し、リモートでコードを実行できる可能性がある。
マイクロソフトは現在、この問題を調査中です。マイクロソフトは通常、毎月第2火曜日にパッチをリリースしています。スケジュール通りであれば、最短で1月13日にパッチがリリースされる予定です。しかし、脆弱性が特に危険であると判断した場合、マイクロソフトはパッチリリースサイクルを延期することがあります。
マイクロソフトによると、この脆弱性は電子メールを開くだけでは悪用できない。被害者は、問題を悪用するために設計された悪意のあるファイルを含む添付ファイルを開く必要がある。
Microsoftによると、Word 97文書は、ユーザーがOffice Wordをインストールしている場合、デフォルトでOffice Wordで開かれる。Wordはこの問題の影響を受けないが、攻撃者が悪意のあるファイルの名前をWindows Write(.wri)拡張子に変更することで、ワードパッドがそれを開こうとする可能性がある。同社は、「.wri」拡張子の添付ファイルはネットワークゲートウェイでブロックできるため、ユーザーが有害なファイルを開くリスクを軽減できるとしている。
マイクロソフトは火曜日、Internet Explorer、SharePoint、Office、Windows Media Player、Vista OSを含むアプリケーションにおける28件の脆弱性を修正する8つのパッチをリリースした。これらのパッチのうち6つは「緊急」に分類されている。
