米Microsoftは米国時間5月7日、Windows Media Playerにセキュリティホールがあるとして、警告を発した。対象となるのは、Windows Media Player 7.1とMedia Player for XP (バージョン8.0)。Windows Media Player 9.0は対象外となる。同社は技術広報やユーザー向けの広報などを通じて、ただちにパッチを当てるよう呼びかけている。
今回のセキュリティホールは、スキンと呼ばれるファイルをダウンロードする際のアプリケーションの挙動を悪用したもの。スキンはWindows Media Playerのインターフェース外観や色などを変更するファイルである。ユーザーがこのスキンに類似した悪意のあるプログラム(偽スキン)をダウンロードすると、攻撃者によって指定された場所にファイルがコピーされ、パソコンが乗っ取られる可能性がある。
Windows Media Playerのファイルは通常、インターネットのキャッシュにコピーされた後、不特定の場所にコピーされるのに対して、「ファイルがスキンの拡張子を持つ場合、(攻撃者の指定する)予測可能な場所にコピーされるおそれがある」(Microsoftのセキュリティ・プログラム・マネージャー、Stephen Toulouse)。
ただし、攻撃を仕掛けるには、「偽スキンをウェブサーバ上に置いたうえで、ユーザーにそのファイルをダウンロードするよう誘導するか、またはセキュリティアップデートを済ませていないOutlook 98/2000ユーザーに対して、そのファイルを送付する必要がある」(Toulouse)。
今回のセキュリティホールは、フィンランドのセキュリティ会社、Oy Online Solutionsが発見し、Microsoftに3月14日に報告していた。Oy Online Solutionsは5月7日にリリースした報告書のなかで、「今回のセキュリティホールは、Microsoftの基本的なセキュリティ対策の裏をかくものだ」と述べている。「インターネットベースの攻撃を防ぐには、ダウンロードパスにランダムな要素を用いることだ。そうすれば攻撃者は、ダウンロード時のスキンファイルの正確なファイル名を推測できなくなる」と述べている。
Windows Media Playerでセキュリティホールが発見されたのは、今回が初めてではない。約1年前にはMedia Player 6.4/7.1、Media Player for XPにおいて、デジタル著作権管理技術に関するセキュリティホールが見つかっている。さらに2001年1月にはMedia Player 7で、同じくスキンの処理を悪用するセキュリティホールが見つかっている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス