複数のマイクロソフト製品に深刻な欠陥が見つかる

　米Microsoftは米国時間4月9日、同社ソフトウェアに3つの欠陥が見つかったと発表した。

　これは、Windows搭載マシンでJavaアプレットを稼動させるMicrosoft Virtual Machine（VM）に関するもの、Windows 2000とWindows NT 4.0のコンポーネントに含まれるクロスサイトスクリプティングのバグ、そしてProxy Server 2.0とISA Serverに影響しDenial-of-Service（DoS）を引き起こすバグの3つ。

　同社による警告の発令は、今年だけでもすでに今回で12回目となる。 　

　警告された欠陥のうち、Microsoft VMに関するものは最も深刻で、同社のレイティングでも"critical"となっている。ByteCode VerifierというコンポーネントがJavaアプレットをロードする際のチェック機能が正しく働かず、攻撃者が対象となるPCに被害を与えるコードを忍び込ませることができてしまう欠陥が見つかった。この悪意のあるコードが埋め込まれたウェブサイトを閲覧したり、または電子メールを開封したパソコンは、攻撃にさらされ、乗っ取られる可能性がある。

　VMはWindowsのほとんどのバージョン（Windows 95、98、98SE、ME、NT 4.0、Service Pack 1、 2000、XP）とInternet Explorerの一部のバージョンに付随して出荷されており、米Sun MicrosystemsのJava言語で書かれたアプレットというプログラムの実行に利用される。Microsoftによると、バグを確認したのはビルド番号5.0.3802から5.0.3809までのVMだが、これ以前の製品にも欠陥があるかもしれないという。欠陥を修正するには、同社ウェブサイトから3810以降の最新VMをダウンロードし、インストールすればよい。

　スクリプティングのバグでは、ユーザーが信頼のおけるウェブサイトを閲覧している最中に、攻撃者は悪意のあるコードを送りつけることができる。Microsoftによると、Indexing ServicesのコンポーネントであるCiWebHitsFileにバグがあるという。Indexing Servicesは、Internet Information ServerとWindows 2000に統合されている検索サービス。同社はパッチを自社サイトでリリース済みである。

　また、Proxy Server 2.0とISA Serverに含まれるバグは、攻撃者が特別に作成したデータパケットを利用して、ネットワーク内からサービス拒否攻撃を仕掛けることを許してしまう。このバグを修正するパッチも、同社サイトで入手可能。