Microsoftは、開発者向けスイート「Visual Studio」のセキュリティホールがユーザーを標的とする攻撃に悪用されているとの警告を発した。
Microsoftが米国時間10月31日夜に公表したセキュリティ勧告によると、この脆弱性はVisual Studio 2005の「ActiveXコントロール」に存在しているという。同社は「この脆弱性の悪用に成功した攻撃者は、システムを完全にコントロールすることができるようになる」と警告している。
セキュリティ監視会社French Security Incident Response Teamは、サイバー攻撃者が既にこの脆弱性を悪用した攻撃を行っていると警告している。同社はこの脆弱性の深刻度を、最高レベルの「重大」であると判断している。
Microsoftは同社のSecurity Responseブログにおいて、この脆弱性を悪用した限定的な攻撃の可能性を認識していることを明らかにしている。
同社によれば、攻撃を成功させるためには、Visual Studioユーザーをだまして不正なウェブサイトを閲覧させる必要があるという。同社はこの脆弱性に対する修正を計画しており、月例パッチサイクルでリリースする予定にしているものの、いつの月例パッチに含めるのかについては明らかにしていない。
脆弱性のあるこのActiveXコントロールは、WmiScriptUtils.dllに含まれる「WMI Object Broker」である。これはVisual Studio 2005の「WMI Wizard」によって使用されるものである。WMI、すなわちWindows Management Instrumentationは、Windows Driver Modelに対する一連の拡張である。
この脆弱性は、Visual Studio 2005を稼働させているシステムに影響を与える。Microsoftによれば、Windows Server 2003およびWindows Server 2003 Service Pack 1をデフォルト構成で稼働させ、セキュリティ強化の構成をオンにしているシステムは影響を受けないという。
また同社によれば、デフォルト設定のInternet Explorer 7にアップグレードされたVisual Studio 2005マシンは、インターネットゾーンのActiveXのオプトイン機能を利用してWMI Object Broker ActiveXコントロールを有効にしていない限り、影響を受けないという。
Microsoftの次回のパッチリリースは11月14日に予定されている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
