米Microsoftは米国時間4月9日、同社ソフトウェアに3つの欠陥が見つかったと発表した。
これは、Windows搭載マシンでJavaアプレットを稼動させるMicrosoft Virtual Machine(VM)に関するもの、Windows 2000とWindows NT 4.0のコンポーネントに含まれるクロスサイトスクリプティングのバグ、そしてProxy Server 2.0とISA Serverに影響しDenial-of-Service(DoS)を引き起こすバグの3つ。
同社による警告の発令は、今年だけでもすでに今回で12回目となる。
警告された欠陥のうち、Microsoft VMに関するものは最も深刻で、同社のレイティングでも"critical"となっている。ByteCode VerifierというコンポーネントがJavaアプレットをロードする際のチェック機能が正しく働かず、攻撃者が対象となるPCに被害を与えるコードを忍び込ませることができてしまう欠陥が見つかった。この悪意のあるコードが埋め込まれたウェブサイトを閲覧したり、または電子メールを開封したパソコンは、攻撃にさらされ、乗っ取られる可能性がある。
VMはWindowsのほとんどのバージョン(Windows 95、98、98SE、ME、NT 4.0、Service Pack 1、 2000、XP)とInternet Explorerの一部のバージョンに付随して出荷されており、米Sun MicrosystemsのJava言語で書かれたアプレットというプログラムの実行に利用される。Microsoftによると、バグを確認したのはビルド番号5.0.3802から5.0.3809までのVMだが、これ以前の製品にも欠陥があるかもしれないという。欠陥を修正するには、同社ウェブサイトから3810以降の最新VMをダウンロードし、インストールすればよい。
スクリプティングのバグでは、ユーザーが信頼のおけるウェブサイトを閲覧している最中に、攻撃者は悪意のあるコードを送りつけることができる。Microsoftによると、Indexing ServicesのコンポーネントであるCiWebHitsFileにバグがあるという。Indexing Servicesは、Internet Information ServerとWindows 2000に統合されている検索サービス。同社はパッチを自社サイトでリリース済みである。
また、Proxy Server 2.0とISA Serverに含まれるバグは、攻撃者が特別に作成したデータパケットを利用して、ネットワーク内からサービス拒否攻撃を仕掛けることを許してしまう。このバグを修正するパッチも、同社サイトで入手可能。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」