米マイクロソフト、IEとOutlookに深刻な欠陥

 米Microsoftは米国時間4月23日、Internet Explorer(IE)とOutlook Expressで見つかったセキュリティホールのパッチをリリースした。

 攻撃者がこのセキュリティホールを利用すると、ユーザーのパソコンを乗っ取り、プログラムを実行することができる。深刻な欠陥であるため、同社はIEとOutlook Exporessの両アプリケーションのアップデートを勧告している。「ユーザーには、何よりもまずパッチをインストールして、自分のマシンを保護してもらいたい」(Microsoftセキュリティ対応センターのセキュリティプログラム責任者、Stephen Toulouse)

 IEは5.01、5.5、6.0バージョンに4つのセキュリティホールが見つかった。最も深刻な欠陥は、ユーザーが悪意のあるHTML形式の電子メールを読んだりウェブサイトにアクセスすると、攻撃者にコンピュータを乗っ取られてしまうというものだ。攻撃者がアプリケーションの許容量を超えるデータを大量送信すると、IEのコンポーネントにバッファオーバーフローが発生し、犠牲者のコンピュータ上で任意のコードを実行可能になる。

 そのほか、攻撃者が犠牲者のコンピュータからファイルをウェブサイトにアップロードする可能性のある欠陥や、米Adobe SystemsのPDFファイルなど、サードパーティーのファイル処理に影響する問題が検出された。

 一方、Outlook Expressでは、HTMLをカプセル化する手法に欠陥が認められた。攻撃者はこの欠陥を悪用して、犠牲者のコンピュータでプログラムを実行できる。

 Microsoftは、Outlook ExpressとIEを使っていないユーザーも、パッチをインストールするよう警告している。今回を含め、Microsoftは今年に入ってから15回もセキュリティ報告を行った。ちなみに同社は、自社の各種アプリケーションのセキュリティ向上を図るTrustworthy Computing Initiativeキャンペーンを、昨年立ち上げている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]