17年前に作成され、現在もシステム内に残っている「Microsoft Office」向けの実行ファイルに、遠隔でコードを実行される脆弱性が存在することが判明し、Microsoftがパッチをリリースした。この脆弱性は、「Windows 10」が備えている最新のエクスプロイト緩和機能のいずれによっても保護されていなかった。

セキュリティ企業Embediの研究者が発見したこのバグは、Office向けの古いツール「Microsoft Equation Editor」（数式エディター）内に存在する。このツールの実行可能ファイルである「EQNEDT32.EXE」は、2000年に作られて以来、一度も改定されたことがなかった。

このツールはOfficeドキュメントに数式を挿入するために使われていたが、「Office 2007」以降は不要になっていた。Embediでは、Microsoftが後方互換性を確保するためにこのツールを残したのではないかと推測している。

Embediは、Microsoft自体がリリースしているセキュリティツール「BinScope」を利用して、この脆弱な実行可能ファイルを見つけ出した。BinScopeはバイナリを分析し、プロジェクトがMicrosoftの「セキュリティ開発ライフサイクル」（SDL）に準拠しているかどうかをチェックするツールだ。



Microsoft Officeの数式エディターに脆弱性が発見された。

提供：Embedi Microsoft Officeの数式エディターに脆弱性が発見された。提供：Embedi

Microsoftは、米国時間11月14日に公開した11月の月例パッチで、今回見つかった脆弱性（CVE-2017-11882）に対応した。

「この脆弱性が悪用されるには、ユーザーが影響を受けるバージョンのMicrosoft OfficeまたはMicrosoft『ワードパッド』ソフトウェアで、特別に細工されたファイルを開くことが攻撃者にとっての必要条件となります」とMicrosoftは書いている。

攻撃者は、メールやウェブを用いて、この脆弱性を利用した攻撃を特定のユーザーに対して仕掛けることができるが、そのためには標的とするユーザーに不正なファイルを開かせる必要がある。

「Windows 7」からWindows 10までのマシンに搭載された、すべてのサポート対象のOfficeはこのバグの影響を受ける。これには「Office 2007 Service Pack 3」から「Office 2016」までが含まれる。

Embediが公開した脆弱性を解説する動画（出典：Embedi/YouTube）