Windowsの全バージョンにセキュリティホール

 Microsoftは米国時間3月19日、Windows OSのすべてのバージョンに脆弱性があり、WebサイトやHTML形式の電子メール経由でユーザーのコンピュータが乗っ取られる可能性があると警告した。

 脆弱性が存在するのは、OSのスクリプティングコンポーネント、ECMAScript Edition 3。攻撃者はスクリプティングエンジンを通じて、プログラムがローカル上にあるようにみせかけてコードを実行し、独自のプログラムを走らせたり、システムを乗っ取ることができる。Microsoftは、この脆弱性の危険度を「緊急」と位置づけている。

 しかし、次の2つの理由によって脆弱性の重度は軽減する。まず、電子メールクライアントソフトにはすでにセキュリティ対策が取られており、このようなHTML攻撃を回避するよう設計されている。Outlook Express 6.0とOutlook 2002は初期設定のまま動作させていれば、HTMLメールによる攻撃は受けない。「電子メールを媒介にした攻撃が行えるのは、Outlookの古いバージョンのみ」(Microsoft)だが、Outlook E-mail Security Updateをあてていれば古いバージョンであっても安全だ。

 また、ユーザーが悪意のあるサイトを訪れない限り、Webページを通じた攻撃は行われない。

 この脆弱性に対するパッチは、MicrosoftがWebサイトで配布している。

 なお、Microsoftが脆弱性について発表を行うのは、今週はこれで2回目となる。同社は17日、Internet Information Services (IIS) Server 5.0のコンポーネントに見つかった脆弱性により、攻撃者が顧客のコンピュータシステムに危害を加えたことを発表した。翌18日には、攻撃を受けたのは米陸軍のサーバだったことが明らかにされた。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]