News:ニュース速報 2003年4月10日 09:07 AM 更新

Microsoft VMに新たなセキュリティホール

Microsoft VMに含まれたByteCode Verifierコンポーネントが原因で、攻撃者が悪質なJavaアプレットをWebページに埋め込むなどして悪用する恐れがある

 米Microsoftは4月9日、Microsoft VMに見つかった最大深刻度「Critical(緊急)」の新たな脆弱性についてセキュリティ警報(MS03-011)を出した。このセキュリティホールを使って攻撃者がコードを実行する恐れがあるとして、Windowsの利用者に対し、ビルド3810以降のMicrosoft VMをインストールするよう促している。

 Microsoft VMはWin32環境用仮想マシンでWindowsとInternet Explorerの大半のバージョンに含まれている。今回発見されたセキュリティホールは、Microsoft VMに含まれたByteCode VerifierコンポーネントがJavaアプレットロードの際に特定の悪質なコードの存在を正しくチェックしていないことが原因。このため攻撃者が悪質なJavaアプレットをWebページに埋め込むなどして悪用する恐れがある。

 この脆弱性はビルド5.0.3809までのMicrosoft VMの全ビルドに影響する。自分のマシンにインストールされたMicrosoft VMのバージョンは、コマンドプロンプトでjviewとタイプすると確認できる。

 Microsoft VMに関しては昨年12月にも深刻度評価「緊急」を含む複数のセキュリティホールが発見され、修正プログラムが発行されていた(12月12日の記事参照)。

 これとは別に米Microsoftは9日、Microsoft Proxy Server 2.0、およびMicrosoft Internet Security and Acceleration(ISA)Server 2000を使用するシステム管理者向けのセキュリティ警告(MS03-012)も出している。こちらはサービス拒否(DoS)攻撃につながる脆弱性で、最大深刻度「Important(重要)」。これらサーバソフトを扱う管理者にパッチをインストールするよう促している。

関連リンク
▼ Microsoft Security Bulletin MS03-011

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.