お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

Windows Media Playerにまたセキュリティホール

2003/05/08 11:16
  • このエントリーをはてなブックマークに追加

 米Microsoftは米国時間5月7日、Windows Media Playerにセキュリティホールがあるとして、警告を発した。対象となるのは、Windows Media Player 7.1とMedia Player for XP (バージョン8.0)。Windows Media Player 9.0は対象外となる。同社は技術広報やユーザー向けの広報などを通じて、ただちにパッチを当てるよう呼びかけている。

 今回のセキュリティホールは、スキンと呼ばれるファイルをダウンロードする際のアプリケーションの挙動を悪用したもの。スキンはWindows Media Playerのインターフェース外観や色などを変更するファイルである。ユーザーがこのスキンに類似した悪意のあるプログラム(偽スキン)をダウンロードすると、攻撃者によって指定された場所にファイルがコピーされ、パソコンが乗っ取られる可能性がある。

 Windows Media Playerのファイルは通常、インターネットのキャッシュにコピーされた後、不特定の場所にコピーされるのに対して、「ファイルがスキンの拡張子を持つ場合、(攻撃者の指定する)予測可能な場所にコピーされるおそれがある」(Microsoftのセキュリティ・プログラム・マネージャー、Stephen Toulouse)。

 ただし、攻撃を仕掛けるには、「偽スキンをウェブサーバ上に置いたうえで、ユーザーにそのファイルをダウンロードするよう誘導するか、またはセキュリティアップデートを済ませていないOutlook 98/2000ユーザーに対して、そのファイルを送付する必要がある」(Toulouse)。

 今回のセキュリティホールは、フィンランドのセキュリティ会社、Oy Online Solutionsが発見し、Microsoftに3月14日に報告していた。Oy Online Solutionsは5月7日にリリースした報告書のなかで、「今回のセキュリティホールは、Microsoftの基本的なセキュリティ対策の裏をかくものだ」と述べている。「インターネットベースの攻撃を防ぐには、ダウンロードパスにランダムな要素を用いることだ。そうすれば攻撃者は、ダウンロード時のスキンファイルの正確なファイル名を推測できなくなる」と述べている。

 Windows Media Playerでセキュリティホールが発見されたのは、今回が初めてではない。約1年前にはMedia Player 6.4/7.1、Media Player for XPにおいて、デジタル著作権管理技術に関するセキュリティホールが見つかっている。さらに2001年1月にはMedia Player 7で、同じくスキンの処理を悪用するセキュリティホールが見つかっている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社