I.概要

2021年9月7日（米国時間）に、マイクロソフトからMicrosoft MSHTMLの脆弱性（CVE-2021-40444）に関する情報が公開されました。脆弱性が悪用されると、遠隔の第三者が、細工したMicrosoft Officeのファイルをユーザーに開かせることで、任意のコードを実行するなどの可能性があります。

Microsoft MSHTML Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

II.対象

対象となる製品とバージョンは次のとおりです。最新の情報や詳細については、マイクロソフトの情報を参照してください。

– Windows Server 2019
– Windows Server 2016
– Windows Server 2012 R2
– Windows Server 2012
– Windows Server 2008 R2
– Windows Server 2008
– Windows Server, version 20H2
– Windows Server, version 2004
– Windows 10
– Windows RT 8.1
– Windows 8.1
– Windows 7

III.対策

2021年9月9日時点で、マイクロソフトから本脆弱性を修正する更新プログラムは公開されていません。マイクロソフトからの情報を注視し、対策に関する情報が公開され次第、速やかな対策実施を推奨します。

IV. 回避策

マイクロソフトから、脆弱性に対する回避策として、Internet Explorerにおける全てのActiveXコントロールのインストールを無効にする、レジストリの設定を変更する方法が案内されています。マイクロソフトの情報を参照し、回避策の適用を検討してください。

2021年9月9日（米国時間）、マイクロソフトから本脆弱性に対する回避策について追加情報が公開されています。グループポリシーで回避策を適用する方法に加え、Windows Explorerでファイルプレビューを無効にする方法が案内されています。
**********************************************************************

V. 緩和策

マイクロソフトから、Microsoft Officeの「保護ビュー」や「Application Guard for Office」が紹介されています。

保護ビューとは
https://support.microsoft.com/ja-jp/topic/%E4%BF%9D%E8%AD%B7%E3%83%93%E3%83%A5%E3%83%BC%E3%81%A8%E3%81%AF-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

Application Guard for Office
https://support.microsoft.com/ja-jp/topic/application-guard-for-office-9e0fb9c2-ffad-43bf-8ba3-78f785fdba46

VI. 参考情報

マイクロソフト株式会社
Microsoft MSHTML Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444