Windowsの全バージョンにセキュリティホール

　Microsoftは米国時間3月19日、Windows OSのすべてのバージョンに脆弱性があり、WebサイトやHTML形式の電子メール経由でユーザーのコンピュータが乗っ取られる可能性があると警告した。

　脆弱性が存在するのは、OSのスクリプティングコンポーネント、ECMAScript Edition 3。攻撃者はスクリプティングエンジンを通じて、プログラムがローカル上にあるようにみせかけてコードを実行し、独自のプログラムを走らせたり、システムを乗っ取ることができる。Microsoftは、この脆弱性の危険度を「緊急」と位置づけている。

　しかし、次の2つの理由によって脆弱性の重度は軽減する。まず、電子メールクライアントソフトにはすでにセキュリティ対策が取られており、このようなHTML攻撃を回避するよう設計されている。Outlook Express 6.0とOutlook 2002は初期設定のまま動作させていれば、HTMLメールによる攻撃は受けない。「電子メールを媒介にした攻撃が行えるのは、Outlookの古いバージョンのみ」（Microsoft）だが、Outlook E-mail Security Updateをあてていれば古いバージョンであっても安全だ。

　また、ユーザーが悪意のあるサイトを訪れない限り、Webページを通じた攻撃は行われない。

　この脆弱性に対するパッチは、MicrosoftがWebサイトで配布している。

　なお、Microsoftが脆弱性について発表を行うのは、今週はこれで2回目となる。同社は17日、Internet Information Services (IIS) Server 5.0のコンポーネントに見つかった脆弱性により、攻撃者が顧客のコンピュータシステムに危害を加えたことを発表した。翌18日には、攻撃を受けたのは米陸軍のサーバだったことが明らかにされた。