米Microsoftが23日(米国時間)、またしてもセキュリティホール関連の複数の警告を発したが、このなかにはほとんどのWindows PCに影響を与える「重大」な欠陥も含まれている。
このなかで、もっとも深刻な欠陥はDirectXに関わるもの。DirectXはグラフィックやマルチメディアをコントロールするプログラミング・インストラクションのライブラリーで、PCゲームのほとんどがこれを利用してつくられているが、悪意のあるユーザーは今回発表された欠陥につけ込んで、脆弱性を抱えるPCのうえで好きなプログラムコードを動かすことができてしまうという。
今回発表されたセキュリティホールは、対象範囲が広い点で従来と異なる。影響を受けるのは、DirectXの5.2〜9.0aまでのバージョンが動作するWindows製品で、Windows 98から最新のWindows Server 2003まですべてのバージョンが対象になると、同社の広報では述べている。
問題となるのは、DirectX中のMIDIファイルを扱う部分で、ここに異常な形式のMIDIファイルを読み込ませることでバッファオーバーフローを引き起こし、悪意のあるプログラムを実行可能にしてしまうのだ。Microsoftでは、これを最も緊急度の高いセキュリティホールとしている。
このセキュリティホールを利用して対策が行われていないPCに攻撃を加えるには、電子メールやWebページを介してなど、何らかの形でユーザーにMIDIファイルを実行させる必要がある。だが、最近のMicrosoft OutlookやInternet Explorerなどでは、これらファイルを自動実行しないような対策が施されているため、「攻撃者は何らかの形でユーザーにファイルをクリックさせる必要がある」という。同社Security Response CenterのStephen Toulouseは、ユーザーに対してむやみに怪しいMIDIファイルを実行しないように呼びかけている。
Toulouseはまた、この問題を用いたシステム攻撃例はまだ報告されていないが、該当ユーザーにはできるだけ速やかに対策パッチを当てることを勧めている。
Microsoftでは、同時にいくつかほかのセキュリティホールについても報告している。1つは、同社のSQL Serverに関するもので、レベルは「重要」となっている。次がWindows NT 4.0に関するDDoS(サービス拒否)攻撃に関するもので、レベルは「中」となっている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス