一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、Microsoft Graphics Componentが抱える未修正の脆弱性に関して注意喚起を行った。米Microsoftは「Security Advisory (2896666)」として公開しており、主に中東や南アジアの広い範囲でこの脆弱性を悪用した標的型攻撃が確認されているという。

遠隔地にいる第三者は、細工を施したTIFF形式の画像ファイルや、それを含むMicrosoft Office文書などをユーザーに開かせることで、ユーザー側のPCで任意のコードを実行される可能性がある。

JPCERT/CCの注意喚起

Microsoft Security Advisory
(2896666)

2013年11月6日現在、この脆弱性に対処するMicrosoftの更新プログラムは未公開だが、脆弱性の軽減策(下記の2点)は示されている。

・「Microsoft Fix it 51004」を適用する
 (このFix itを適用すると、TIFF形式の画像が表示されなくなる)

・「Enhanced Mitigation Experience Toolkit(EMET)」を使用する

この脆弱性の対象となる製品とバージョンは以下の通り。

・Windows Vista Service Pack 2
・Windows Vista x64 Edition Service Pack 2
・Windows Server 2008 for 32-bit Systems Service Pack 2
・Windows Server 2008 for x64-based Systems Service Pack 2
・Windows Server 2008 for Itanium-based Systems Service Pack 2
・Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
・Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

・Microsoft Office 2003 Service Pack 3
・Microsoft Office 2007 Service Pack 3
・Microsoft Office 2010 Service Pack 1 (32-bit editions)
・Microsoft Office 2010 Service Pack 2 (32-bit editions)
・Microsoft Office 2010 Service Pack 1 (64-bit editions)
・Microsoft Office 2010 Service Pack 2 (64-bit editions)
・Microsoft Office Compatibility Pack Service Pack 3