MS、「Vista」向けにWMF脆弱性の修正パッチをリリース

　「Windows Vista」の技術プレビュー版に対して、現行のWindowsで発見された画像レンダリングの脆弱性を修復するセキュリティアップデートがリリースされた。

　Microsoftは米国時間13日、同社の次期主力OSであるWindows Vista向けとしては初めてと考えられるセキュリティパッチをリリースした。今回のアップデートは、2005年7月に発表された同OSの最初のベータ版と、同12月に発表された技術プレビュー版を対象としている。Windows Vistaの最終版は、2006年末までにリリースされる予定だ。

　同パッチは、WindowsのGraphics Rendering Engineが「Windows Meta File（WMF）」画像を処理する方法に存在する脆弱性を修復する。このバグは2005年12月末に発見され、無防備なWindows PC上でスパイウェアやアドウェアなどの悪質なコードを実行するためにサイバー犯罪者により悪用されていた。

　Microsoftは2006年1月に入って、月例パッチリリースの通常周期を早め、「Windows XP/2000」および「Windows Server 2003」向けの「緊急」アップデートを前倒しして提供した。同社のセキュリティ情報には、脆弱なOSとしてVistaは挙げられていない。しかし、今回のVista用アップデートでは、Microsoftのサポートウェブサイトにある同一セキュリティ情報ページを参照し、セキュリティ問題の詳細について説明している。

　セキュリティ界は、このWMF問題に対して異例の対応をした。ある専門家は、Microsoftがセキュリティアップデートを提供する前に、みずから修復パッチを作成していた。業界の専門家らは、WMFバグはWindowsの脆弱性の中でも、データを危険にさらす最も深刻なものと見なし、このパッチの適用を推奨していた。一方、Microsoftは、ユーザーに対する大規模な攻撃は起こらないと述べていた。

　WMFの画像処理法に関する脆弱性は、バッファオーバーフローなどの攻撃に悪用される、典型的なセキュリティ問題とは異なる。Microsoftによれば、WMFの問題はソフトウェアの機能に存在しているもので、これが想定外の方法で悪用されているのだという。

　WMFファイルが開発された1980年代には、当時の低速なシステムの可用性を高めるため、PC上で実行可能なコンピュータコードを画像ファイルに含める機能が利用されていた。同画像ファイルフォーマットは、1990年代初めに「Windows 3.0」に搭載されている。