ニュース
» 2009年12月14日 07時35分 UPDATE

MSがIndeoコーデックの攻撃防止策、脆弱性は修正せず

月例パッチと同時公開したIndeoのアドバイザリーで、「脆弱性を修正する代わりに多層防御の機能を追加した」とMicrosoftは説明している。

[ITmedia]

 US-CERTは12月11日、米Microsoftが月例セキュリティ更新プログラムと同時に公開した動画コーデック「Indeo」に関するアドバイザリーについて、改めて注意を喚起した。同コーデックには複数の脆弱性が存在するが、Microsoftは脆弱性自体を修正するのではなく、同コーデックをブロックして攻撃経路をふさぐ措置を取っている。

 Microsoftが8日に公開したセキュリティアドバイザリー「954157」は、Indeoの多層防御機能を追加する更新プログラムの配布について告知するもの。影響を受けるのはWindows 2000、Windows XP、Windows Server 2003で、自動更新を有効にしている場合、更新プログラムが自動的にインストールされる。

 アドバイザリーによると、Indeoには複数の脆弱性があり、細工を施したWebサイトやコンテンツを使って悪用された場合、リモートでコードを実行される恐れがある。

 更新プログラムではこうした攻撃を防ぐため、Internet Explorer(IE)とWindows Media PlayerでIndeoコーデックを起動できなくするとともに、それ以外のアプリケーションでインターネットを閲覧する際も、同コーデックが読み込まれないようにした。

 MicrosoftはIndeoの脆弱性自体を修正しなかった理由について、「Indeoは複数の脆弱性が確認されている旧式のコーデックであり、特定の脆弱性を修正する代わりに多層防御の機能を追加し、既知の脆弱性および今後の同様の脆弱性を突いた攻撃にさらされる局面を一括して低減する措置を取った」と説明している。

過去のセキュリティニュース一覧はこちら

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

関連ホワイトペーパー

脆弱性 | Microsoft(マイクロソフト)


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ