日本マイクロソフトは2017年11月に2回、10月10日にサポートが終了した「Office 2007」向けのパッチを公開した。パッチは、Microsoft Officeに付属する数式エディターの脆弱性「CVE-2017-11882」に対する修正プログラムとなる。CVE-2017-11882の脆弱性を悪用されると、遠隔からPCを操作されてしまう可能性がある。

脆弱性「CVE-2017-11882」の説明をするWebページ
(出所:米Microsoft)
[画像のクリックで拡大表示]

 日本マイクロソフトが修正プログラムを提供したのは11月の月例セキュリティ更新となる11月15日と、その後の11月29日。CVE-2017-11882の影響を受けるのはOffice 2007に加え、Office 2010、Office 2013、Office 2016となる。Office 2007以外のバージョンに対しても修正プログラムが公開されている。

 JPCERTコーディネーションセンター(JPCERT/CC)は「脆弱性が既に悪用されていることや、本脆弱性を実証するコードが既に公開されており、動作することを確認している。早期の適用を強く推奨する」としている。情報処理推進機構(IPA)は、CVE-2017-11882の脆弱性の解消策として、修正プログラムを適用するほか、数式エディターの無効化を提示している。