2021年9月8日にMicrosoft Windows 製品における Microsoft MSHTML の脆弱性(CVE-2021-40444)に関する情報が公表されました。Microsoftセキュリティ更新プログラムページの情報を抜粋してご案内します。
Table of Contents
概要
MicrosoftWindowsに影響を与えるMSHTMLのリモートコード実行の脆弱性の報告を調査しています。Microsoftは、特別に作成されたMicrosoft Officeドキュメントを使用して、この脆弱性を悪用しようとする標的型攻撃を認識しています。
Microsoft社では「悪用の事実を確認済み」であることを公表し、被害拡大回避ための回避策と緩和策を案内しています。
回避策
Internet ExplorerですべてのActiveXコントロールのインストールを無効にすると、この攻撃が軽減されます。
緩和策
Microsoft Officeは、インターネットからのドキュメントをProtectedViewまたはApplicationGuard for Officeで開きます。どちらも、現在の攻撃を防ぎます。保護されたビューの詳細については、「保護されたビューとは」を参照してください。
参考URL
- マイクロソフトセキュリティ更新プログラム
Microsoft MS HTMLリモートコード実行の脆弱性 - IPA 情報処理推進機構
Microsoft Windows製品 Microsoft MSHTML の脆弱性対策について(CVE-2021-40444)
まとめ
回避策と緩和策が案内されていますが、まだアップデート・修正パッチは公開されていませんので注意が必要となります。
セキュリティの脆弱性やプログラムのバグなどは、0になることはありませんので、日々更新したり、早急な対応を迫られる場面が多いです。
問合せ対応やトラブル対応でお客様をお待たせしたりすることがあります。原因追及と解決方法の提示がもちろん重要ですが、そこに集中しすぎてしまうことがあります。直ぐに解決できない場合は、回避策や緩和策といった一時的な対応を早く明示することや注意喚起を促すことで、時間や範囲への影響度を少なくできる可能性があると思いました。客観的な視点、機転がきく柔軟性が欲しいものです。