目次

  1. MSHTMLとは 脆弱性「CVE-2021-40444」が指摘
  2. 影響を受けるWindows製品
  3. 月例のセキュリティ更新プログラムで対応
  4. 脆弱性の回避策・緩和策

 MSHTMLとは、ウェブページ記述用の言語で書かれたデータを解釈し、画面に表示する文字や画像などの配置を計算するMicrosoftのプログラムです。このプログラムに見つかったのが脆弱性「CVE-2021-40444」です。

 この脆弱性が悪用されると、悪意を持った攻撃者が細工したMicrosoft Officeのファイルをユーザーに開かせることで、任意のコードを実行するなどの可能性があります。

 悪用された事実が確認されており、IPA(情報処理推進機構)は「今後被害が拡大するおそれがあるため、至急、Microsoft社から提供されている回避策または緩和策の適用を検討して下さい」と呼びかけています。

 今回の脆弱性で影響を受ける製品は次の通りです。

  • Windows 10
  • Windows 8.1
  • Windows RT 8.1
  • Windows 7
  • Windows Server
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

 「CVE-2021-40444」の対応については、9月の月例のセキュリティ更新プログラムで対応されています。詳しくは、Microsoft社のサイトで確認してください。

 月例のセキュリティ更新プログラムの公表前には、脆弱性の回避策・緩和策が案内されていました。

 Microsoft社は回避策としてInternet ExplorerですべてのActiveXコントロールのインストールを無効にすることや、Explorerでファイルプレビューを無効にする方法を勧めています。

また、緩和策としてMicrosoft Office のファイルを ProtectedView または ApplicationGuard for Officeで開くことを勧めています。

 詳しい方法は、Microsoft社のサイトで確認してください。