米Microsoftは24日(現地時間)、Microsoft Wordに存在する未修正の脆弱性について、セキュリティアドバイザリ「2953095」を公開した。対象バージョンはMicrosoft Word 2003 / 2007 / 2010 / 2013 / Viewerなど。既にMicrosoft Word 2010向けの標的型攻撃を確認しているという。
公開された脆弱性を悪用した場合、細工されたリッチテキストフォーマット(RTF形式)のファイルをMicrosoft Wordで開いたり、Microsoft Wordをビューアーとして使うMicrosoft OutlookでRTF形式のメールをプレビューしたりすることで、任意のコードが実行される恐れがある。
同社ではこの脆弱性に関する調査終了時に、月例のセキュリティ更新プログラムで修正パッチを提供する予定。現状の回避策として、RTF形式ファイルの参照・編集を強制的に禁止するツール「Microsoft Fix it 51010」や、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit」の適用を推奨している。
影響を受けるソフトウェアは、Microsoft Word 2003 / 2007 / 2010 / 2013 / Viewer、Microsoft Office Compatibility Pack、Microsoft Office for Mac 2011、Microsoft SharePoint Server 2010 / 2013(Word Automation Services)、Microsoft Office Web Apps 2010、Microsoft Office Web Apps Server 2013。
なお、Microsoft Outlook 2007 / 2010 / 2013では、Microsoft Wordがデフォルトの メールリーダーとなっているため、合わせて注意を喚起している。