マイクロソフト、Video ActiveXコントロールの脆弱性について警告

　Microsoftは米国時間7月6日、「Microsoft Video ActiveX Control」の脆弱性について警告を行った。悪意あるウェブサイトの閲覧により、攻撃者にPCを制御されるおそれがあるというものだ。

　Microsoftは「Security Response Center」ブログの中で、この脆弱性を利用した限定的な攻撃が行われており、影響を受けるのは「Windows XP」「Windows Server 2003」だとしている。

　Microsoftがこの数カ月に公表した「Microsoft DirectShow」関連のセキュリティホールは、これで2件目となる。しかし、5月に公表した「DirectX」のQuickTimeファイル処理に関する脆弱性について、同社はまだセキュリティ更新をリリースしていない。

　「Internet Explorer（IE）」のActiveX Controlは既定では使用されないことから、Microsoftはセキュリティアドバイザリで説明している回避策の実行を推奨している。回避策はMicrosoftサポートサイトの技術情報972890にある「Fix it for me」の指示に従うことで自動的に実行できる。

　「Windows Vista」と「Windows Server 2008」は今回の脆弱性の影響を受けないが、Microsoftはこれら製品に関しても同じ回避策の実行を推奨している。

　Microsoftは現在セキュリティ更新を準備中で、一般提供に適したクオリティになり次第リリースする予定だという。

　Microsoft Video Controlオブジェクトは、動画のキャプチャ、保存、再生のためにMicrosoft DirectShowフィルタを接続するActiveXコントロールである。「Windows Media Center」のメインコンポーネントとして、テレビ動画の保存と再生用フィルタグラフの構築に用いられる。

　同コントロールがIEで利用された場合、任意のコードが実行されるなど、システム状態を汚染する可能性がある。管理者権限でログインしている場合、攻撃者にシステムを完全に支配されるおそれがある。

　ウイルス対策ベンダーのSymantecは、この脆弱性が中国などアジアの複数地域で利用されているとして、このエクスプロイトをホスティングしているサイトが多数存在することを示す報告を引用している。

　Symantecによると、IEのバージョン6と7は危険だが、IE 8は影響を受けないという。