マイクロソフトから3月の月例パッチ--MSN Messenger関連など3件の脆弱性

　Microsoftは新たに同社ソフトウェアに見つかった3つの脆弱性を明らかにした。この中には、MSN Messenger 6.0で初めての脆弱性も含まれている。同社では顧客に対し、すぐにシステムにパッチを適用するよう呼びかけている。

　セキュリティソフトウェア専門メーカーのSymantecなどによると、3件の脆弱性のうち2件の危険度は中程度で、残る1つは低〜中程度のものだという。各欠陥には専用のパッチがリリースされ、ダウンロード可能となっている。今回の脆弱性発表は、Microsoftの定期的なセキュリティ情報告知プロセスの一環として行なわれたもの。

　またMicrosoftは、今後Messengerのパッチ情報をMSN Messengerを通じて告知すると、Microsoft Security Response Centerのセキュリティプログラムマネージャー、Stephen Toulouseは述べている。

　今回発表になった3つの欠陥は、それぞれ異なるソフトウェアに影響する。1つめの脆弱性はMSN Messenger 6.0とMSN Messenger 6.1に影響するもので、これが悪用されると、被害者は攻撃者とチャット中に、攻撃者にハードディスクの中身を見られてしまう。

　「（攻撃者は）MSN Messengerを通じて、被害者のコンピュータのファイルを見ることができてしまう」とToulouseは述べ、さらに「被害者は、攻撃者にハードディスクの中味を見られていることに気付かないないかもしれない」と付け加えた。

　匿名ユーザーを遮断しない設定にしているユーザーは、この脆弱性を最も悪用されやすい。匿名ユーザーが遮断される設定になっていれば、攻撃者は被害者のアドレスリストで特定されるはずだ。攻撃者がクレジットカード番号などの特定の情報を得るためには、被害者のハードディスク内を探索しなければならないが、ハードディスク内を探索できるのはチャットのセッションが続いている間だけだ。

　2つ目の、中程度の危険度を持つ脆弱性は、ハッカーがOutlook 2002にある欠陥を悪用してInternet Explorerのコードを実行し、システムを乗っ取る可能性があるというものだ。

　しかしこの欠陥を悪用するには、コンピュータがある特定の設定になっている必要があるとToulouseは言う。ユーザーが「Outlook Today」の画面をOutlookのホームページに設定していなければ、これが悪用されることはない。

　「Outlookの起動後に、まず受信メールボックスが表示されるようになっていれば、問題は起こらない」（Toulouse）

　3番目の欠陥は、攻撃者がWindows Media Services 4.1が稼動するサーバにDoS攻撃を仕掛けられるというもの。この脆弱性は、Windows Media ServicesのコンポーネントであるWindows Media Station ServiceとWindows Media Monitor Serviceが、TCP/IP接続を処理する方法に起因している。攻撃者が、Media Services 4.1が稼動するサーバにあるパケット列を送信すると、ビデオストリームが妨害される可能性があるという。