日本マイクロソフトは11月6日、セキュリティアドバイザリを公開し、Microsoft Graphicsコンポーネントの脆弱性によりWindows OSやOfficeが攻撃を受ける可能性があると発表した。
Microsoft Graphicsコンポーネントにメモリ破損の脆弱性があり、攻撃者によって細工されたTIFFイメージを処理する際に脆弱性が悪用され、攻撃者がユーザーと同じ権限を取得する恐れがあるという。
影響を受けるOSとソフトウェアは、「Windows Vista SP2(x64 Edition含む)/ Server 2008シリーズ SP2」「Microsoft Office 2003 SP3/2007 SP3/2010 SP1、2(64ビット版含む)/互換機能パック SP3」「Microsoft Lync 2010/2013/Basic 2013(全て64ビット版含む)」。
この脆弱性は、McAfee Labs IPS TeamのHaifei Li氏によってMicrosoftに報告された。CVE番号は「CVE-2013-3906」。
同社では、軽減策として「Microsoft Fix it 51004の適用」「Enhanced Mitigation Experience Toolkitの使用」を呼びかけている。
なお、同社によると、この脆弱性を悪用した標的型攻撃が中東や南アジアの広い範囲で確認されているという。