速報
2005/04/22 12:38 更新
Windows 2000のエクスプローラ機能に脆弱性、イスラエル企業が待ちきれず公開
イスラエルのGreyMagic Softwareは4月19日付けで、Windows 2000のエクスプローラ機能に脆弱性が存在するという情報を公開した。
イスラエルのセキュリティ企業、GreyMagic Softwareは4月19日付けで、Windows 2000が搭載するエクスプローラ(Windows Explorer)に脆弱性が存在するという情報を公開した。悪用されると、任意のスクリプトを実行される恐れがある。
この脆弱性は、Windows 2000のエクスプローラが備えているプレビューペーン(Webの表示)機能に起因する。デフォルトのまま、Webの表示で「フォルダでWebコンテンツを使う」を選択している場合、エクスプローラ上でファイルを選択すると、更新日時やファイルサイズ、属性といったメタ情報がプレビューペーンに表示される。この処理を行うwebvw.dllライブラリで入力チェックが十分に行われていないことが脆弱性の原因だ。
この結果、メタ情報の中にスクリプトを組み入れて細工を施したファイルをエクスプローラ上で選択すると、そのスクリプトがログインしているユーザーの権限で実行されてしまう。ファイルをダブルクリックして実行する必要はなく、ただエクスプローラ上で選択するだけでスクリプトが作動する。
Secuniaによれば、Windows 2000 Service Pack 4でこの脆弱性が確認できたといい、影響は「中程度」としている。その他のWindows OSには影響はない。
今のところMicrosoftからこの脆弱性に関する情報やパッチは公開されていない。マイクロソフトによると、Grey Magicよりこの脆弱性に関する情報の提供は受けており、パッチの開発/テストを進めている段階だという。Grey MagicではMS側の対応を待ちきれずに情報を公開したものと見られる。
マイクロソフトではパッチの開発を進めているというが、提供時期については未定。それまでの問題の回避策としては、出所の怪しいファイルの扱いを避けることに加え、エクスプローラの設定を変更し、「ツール」の「全般」タブにある「Webの表示」で「従来のWindowsフォルダを使う」を選択することが挙げられるという。
関連記事
関連リンク
[高橋睦美,ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
技術者不在でも「すぐに使える」
業務でオープンソースは不安、は過去のこと
「どこでもオフィス」で業務効率アップ!
1日の処理を1秒にも――MySQLの達人が語る
「設備」「ネットワーク」「マネジメント」
「Windows 7搭載PC」で何が変わったのか?
「ノートPCの持ち出し禁止」だけで大丈夫?
トップエンジニア村上氏と上野氏が競演!
@IT「Windows 7」 特設サイトオープン!
IT基盤をアウトソースした中堅中小企業たち
かつての日本の成功体験はもう通じない
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター