| エンタープライズ:ニュース | 2003/02/27 09:53:00 更新 |
Windows Meに「緊急」のセキュリティホール
マイクロソフトは2月27日、Windows Meに、任意のプログラムを実行される可能性のあるセキュリティホール(MS03-006)が存在するとし、警告を公開した。対策はパッチの適用で、Windows Updateから入手できる。それ以外のプラットフォームに影響はない。
マイクロソフトは2月27日、Windows Meに、任意のプログラムを実行される可能性のあるセキュリティホール(MS03-006)が存在するとし、警告を公開した。
この問題の原因は、Windows Meの「ヘルプとサポート」機能において、「hcp://」から始まるリンクを処理するURLハンドラに、未チェックのバッファが存在すること。これを悪用すれば、バッファオーバーフローを引き起こし、攻撃者が選んだプログラムを「ローカルコンピュータ」権限で勝手に実行されてしまう可能性があるという。
マイクロソフトではこの問題の深刻度を「緊急」とし、Windows Meユーザーに修正プログラムの適用を呼びかけている。パッチはWindows Updateを利用して入手できる。なお、Windows Me以外のOSのユーザーには影響はない。
攻撃者が悪意あるWebサイトにこうしたリンクを仕掛けたり、リンクを記述した電子メールを送りつけてくる可能性が考えられるが、Outlook Express 6.0やOutlook 2002、あるいは「Outlook Email Security Update」を適用したOutlook 98/2000では、HTML形式の電子メールによって、自動的にこのリンクが実行されることはないという(明示的にクリックすれば話は別だ)。またInternet Explorer 6.0 Service Pack 1を適用していれば、Outlook Express/Outlookで自動的に「ヘルプとサポート」機能が立ち上がることもないという。
関連リンク
MS03-006 に関する情報MS03-006: Flaw in Windows Me Help and Support Center Could Enable Code Execution (Q812709) [ITmedia]
