お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

複数のマイクロソフト製品に深刻な欠陥が見つかる

2003/04/11 14:29
  • このエントリーをはてなブックマークに追加

 米Microsoftは米国時間4月9日、同社ソフトウェアに3つの欠陥が見つかったと発表した。

 これは、Windows搭載マシンでJavaアプレットを稼動させるMicrosoft Virtual Machine(VM)に関するもの、Windows 2000とWindows NT 4.0のコンポーネントに含まれるクロスサイトスクリプティングのバグ、そしてProxy Server 2.0とISA Serverに影響しDenial-of-Service(DoS)を引き起こすバグの3つ。

 同社による警告の発令は、今年だけでもすでに今回で12回目となる。  

 警告された欠陥のうち、Microsoft VMに関するものは最も深刻で、同社のレイティングでも"critical"となっている。ByteCode VerifierというコンポーネントがJavaアプレットをロードする際のチェック機能が正しく働かず、攻撃者が対象となるPCに被害を与えるコードを忍び込ませることができてしまう欠陥が見つかった。この悪意のあるコードが埋め込まれたウェブサイトを閲覧したり、または電子メールを開封したパソコンは、攻撃にさらされ、乗っ取られる可能性がある。

 VMはWindowsのほとんどのバージョン(Windows 95、98、98SE、ME、NT 4.0、Service Pack 1、 2000、XP)とInternet Explorerの一部のバージョンに付随して出荷されており、米Sun MicrosystemsのJava言語で書かれたアプレットというプログラムの実行に利用される。Microsoftによると、バグを確認したのはビルド番号5.0.3802から5.0.3809までのVMだが、これ以前の製品にも欠陥があるかもしれないという。欠陥を修正するには、同社ウェブサイトから3810以降の最新VMをダウンロードし、インストールすればよい。

 スクリプティングのバグでは、ユーザーが信頼のおけるウェブサイトを閲覧している最中に、攻撃者は悪意のあるコードを送りつけることができる。Microsoftによると、Indexing ServicesのコンポーネントであるCiWebHitsFileにバグがあるという。Indexing Servicesは、Internet Information ServerとWindows 2000に統合されている検索サービス。同社はパッチを自社サイトでリリース済みである。

 また、Proxy Server 2.0とISA Serverに含まれるバグは、攻撃者が特別に作成したデータパケットを利用して、ネットワーク内からサービス拒否攻撃を仕掛けることを許してしまう。このバグを修正するパッチも、同社サイトで入手可能。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社