【注意喚起】Microsoft MSHTMLの脆弱性（CVE-2021-40444）に関する注意喚起

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2021/at210038.html
引用元: JPCERTコーディネーションセンター 注意喚起

Microsoft MSHTMLの脆弱性（CVE-2021-40444）に関する注意喚起がありました。

I. 概要
2021年9月7日（米国時間）に、マイクロソフトからMicrosoft MSHTMLの脆弱性（CVE-2021-40444）に関する情報が公開されました。脆弱性が悪用されると、遠隔の第三者が、細工したMicrosoft Officeのファイルをユーザーに開かせることで、任意のコードを実行するなどの可能性があります。

　マイクロソフト株式会社
　Microsoft MSHTML Remote Code Execution Vulnerability

マイクロソフトは、本脆弱性を悪用するMicrosoft Officeのファイルを用いた攻撃を確認していると公表しています。今後、本脆弱性を悪用するMicrosoftOfficeのファイルを用いた攻撃が増加する可能性もあるため、マイクロソフトの情報を確認し、回避策の適用を検討するとともに、脆弱性への対策が公開され次第、速やかに適用することを推奨します。

II. 対象
対象となる製品とバージョンは次のとおりです。最新の情報や詳細については、マイクロソフトの情報を参照してください。

　- Windows Server 2022
　- Windows Server 2019
　- Windows Server 2016
　- Windows Server 2012 R2
　- Windows Server 2012
　- Windows Server 2008 R2
　- Windows Server 2008
　- Windows Server, version 20H2
　- Windows Server, version 2004
　- Windows 10
　- Windows RT 8.1
　- Windows 8.1
　- Windows 7

III. 対策
2021年9月9日時点で、マイクロソフトから本脆弱性を修正する更新プログラムは公開されていません。マイクロソフトからの情報を注視し、対策に関する情報が公開され次第、速やかな対策実施を推奨します。

IV. 回避策
マイクロソフトから、脆弱性に対する回避策として、Internet Explorerにおける全てのActiveXコントロールのインストールを無効にする、レジストリの設定を変更する方法が案内されています。マイクロソフトの情報を参照し、回避策の適用を検討してください。

V. 緩和策
マイクロソフトから、Microsoft Officeの「保護ビュー」や「Application Guard for Office」が紹介されています。

マイクロソフト株式会社
　保護ビューとは
　https://support.microsoft.com/ja-jp/topic/%E4%BF%9D%E8%AD%B7%E3%83%93%E3%83%A5%E3%83%BC%E3%81%A8%E3%81%AF-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
　
　マイクロソフト株式会社
　Application Guard for Office
　https://support.microsoft.com/ja-jp/topic/application-guard-for-office-9e0fb9c2-ffad-43bf-8ba3-78f785fdba46

VI. 参考情報
　マイクロソフト株式会社
　Microsoft MSHTML Remote Code Execution Vulnerability
　https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444