Windows PCのJPEGフォーマット処理方法に重大な欠陥

　Microsoftは14日（米国時間）、同社ソフトウェアのJPEG画像フォーマット処理方法に見つかった重大なセキュリティホールを修正するパッチをリリースした。また顧客に対し、新たに提供したツールを利用して、脆弱性のある多数のアプリケーションを修正するよう呼びかけている。

　この「緊急」レベルの欠陥は、Microsoftのオペレーティングシステム（OS）やその他のソフトウェアが、広く普及しているJPEG画像フォーマットを扱う際の方法に存在する。攻撃者がJPEG画像ファイルに細工を施すと、画像ファイルが開かれた瞬間に被害者のコンピュータ上で悪質なプログラムを実行されてしまうおそれがあるという。MicrosoftのInternet Explorer（IE）にもこの脆弱性が存在するため、Windowsユーザーは、細工が施された画像を含むウェブサイトを開くだけで、被害に遭う可能性がある。

　この欠陥が非常に深刻なことから、一部のセキュリティ専門家らは、この欠陥を悪用するウイルスがまもなく登場すると危惧している。

　セキュリティソフトウェア会社McAfeeのウイルスリサーチマネージャー、Craig Schmugarは「攻撃の可能性は非常に高い。しかしながら、この欠陥が悪用され得ることを証明するコードはまだ見つかっていない」と述べている。こうしたコードは欠陥の悪用方法を示すもので、通常はソフトウェアメーカーから製品のパッチがリリースされるとすぐに出現する。

　この欠陥は、少なくとも10数種のMicrosoft製ソフトウェアに見つかっており、同社のアプリケーションやOSのさまざまなバージョンが影響を受ける。そのなかにはWindows XP、Windows Server 2003、Office XP、Office 2003、Internet Explorer 6 Service Pack 1、Project、Visio、Picture It、Digital Image Proなどが含まれる。Microsoftは同社ウェブサイトのセキュリティ情報に、影響を受けるアプリケーションの全リストを掲載している。Windows XP Service Pack 2はこの脆弱性の影響を受けないものの、まだ多くのマシンに配布されている最中だ。

　「問題は、（欠陥の見つかった機能が）さまざまな製品に含まれていることだ」とMicrosoftインシデント対応センターのセキュリティプログラムマネージャーStephen Toulouseは述べている。

　影響を受けるアプリケーションの数が非常に多いことから、Microsoftはパッチとは別に、顧客がコンピュータをアップデートするためのツールを作成した。これにより、Windows Updateのユーザーも、同社のOffice Updateツールと、それから画像および開発アプリケーションを検知・アップデートするツールに転送される。こうしたツールは、同社が今後リリースする可能性のあるツールのプレビューに相当する、とToulouseは述べている。

　「顧客からは、ソフトウェアアップデートのプロセスをもっと簡単にするように言われている。そこで我々は、統一アップデートという仕組みに注目している」（Toulouse）

　Linuxの各ディストリビューションでは、必要に迫られて、すでにこうした統一アップデート用のソフトウェアを開発している。これは、OSのコア部分だけでなく、オープンソースコミュニティが開発したそれ以外のアプリケーションもアップデートできるというものだ。しかし、Windowsアプリケーションの大半はMicrosoft以外の企業が開発しているため、政治的な理由からこのような統一アップデートシステムをつくることがいっそう困難になっている。

　今回明らかにされたJPEG処理方法の欠陥を悪用されると、画像ファイルに隠したプログラムを被害者のシステム上で実行されてしまう。今回の欠陥は、8月初旬に見つかった画像関連の脆弱性とは別のものだ。8月に見つかった脆弱性は、PNGフォーマットをサポートする共通のコードライブラリに見つかったもので、WindowsアプリケーションだけでなくLinux用やAppleのMac OS X用アプリケーションにも影響する可能性があった。