Microsoftは米国時間3月19日、Windows OSのすべてのバージョンに脆弱性があり、WebサイトやHTML形式の電子メール経由でユーザーのコンピュータが乗っ取られる可能性があると警告した。
脆弱性が存在するのは、OSのスクリプティングコンポーネント、ECMAScript Edition 3。攻撃者はスクリプティングエンジンを通じて、プログラムがローカル上にあるようにみせかけてコードを実行し、独自のプログラムを走らせたり、システムを乗っ取ることができる。Microsoftは、この脆弱性の危険度を「緊急」と位置づけている。
しかし、次の2つの理由によって脆弱性の重度は軽減する。まず、電子メールクライアントソフトにはすでにセキュリティ対策が取られており、このようなHTML攻撃を回避するよう設計されている。Outlook Express 6.0とOutlook 2002は初期設定のまま動作させていれば、HTMLメールによる攻撃は受けない。「電子メールを媒介にした攻撃が行えるのは、Outlookの古いバージョンのみ」(Microsoft)だが、Outlook E-mail Security Updateをあてていれば古いバージョンであっても安全だ。
また、ユーザーが悪意のあるサイトを訪れない限り、Webページを通じた攻撃は行われない。
この脆弱性に対するパッチは、MicrosoftがWebサイトで配布している。
なお、Microsoftが脆弱性について発表を行うのは、今週はこれで2回目となる。同社は17日、Internet Information Services (IIS) Server 5.0のコンポーネントに見つかった脆弱性により、攻撃者が顧客のコンピュータシステムに危害を加えたことを発表した。翌18日には、攻撃を受けたのは米陸軍のサーバだったことが明らかにされた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス