いつまで続く?-Windowsにまたもや「重大な欠陥」

　米Microsoftが23日（米国時間）、またしてもセキュリティホール関連の複数の警告を発したが、このなかにはほとんどのWindows PCに影響を与える「重大」な欠陥も含まれている。

　このなかで、もっとも深刻な欠陥はDirectXに関わるもの。DirectXはグラフィックやマルチメディアをコントロールするプログラミング・インストラクションのライブラリーで、PCゲームのほとんどがこれを利用してつくられているが、悪意のあるユーザーは今回発表された欠陥につけ込んで、脆弱性を抱えるPCのうえで好きなプログラムコードを動かすことができてしまうという。

　今回発表されたセキュリティホールは、対象範囲が広い点で従来と異なる。影響を受けるのは、DirectXの5.2〜9.0aまでのバージョンが動作するWindows製品で、Windows 98から最新のWindows Server 2003まですべてのバージョンが対象になると、同社の広報では述べている。

　問題となるのは、DirectX中のMIDIファイルを扱う部分で、ここに異常な形式のMIDIファイルを読み込ませることでバッファオーバーフローを引き起こし、悪意のあるプログラムを実行可能にしてしまうのだ。Microsoftでは、これを最も緊急度の高いセキュリティホールとしている。

　このセキュリティホールを利用して対策が行われていないPCに攻撃を加えるには、電子メールやWebページを介してなど、何らかの形でユーザーにMIDIファイルを実行させる必要がある。だが、最近のMicrosoft OutlookやInternet Explorerなどでは、これらファイルを自動実行しないような対策が施されているため、「攻撃者は何らかの形でユーザーにファイルをクリックさせる必要がある」という。同社Security Response CenterのStephen Toulouseは、ユーザーに対してむやみに怪しいMIDIファイルを実行しないように呼びかけている。

　Toulouseはまた、この問題を用いたシステム攻撃例はまだ報告されていないが、該当ユーザーにはできるだけ速やかに対策パッチを当てることを勧めている。

　Microsoftでは、同時にいくつかほかのセキュリティホールについても報告している。1つは、同社のSQL Serverに関するもので、レベルは「重要」となっている。次がWindows NT 4.0に関するDDoS（サービス拒否）攻撃に関するもので、レベルは「中」となっている。