MSN MessengerとWordにもMozillaと同様の脆弱性

[IDG Japan]

　MicrosoftのインスタントメッセージングソフトMSN MessengerとワープロソフトWordにも、先日Mozillaブラウザで見つかったのと同様の脆弱性が存在するとして、Secuniaがアラートを出した。

　Secuniaによれば、MSN MessengerとWordはいずれも、リモートからアクセスしてWindowsコンピュータでアプリケーションを立ち上げられる機能を備えている。

　Microsoftの広報は、現在この報告について調べているところだが、この脆弱性を突いた攻撃については認識していないと話した。

　Secuniaによれば、いずれのアプリケーションとも、「shell:」へのアクセスに制限をかけていない。URI (Universal Resource Identifier）の機能を利用すると、Windowsユーザーまたソフトアプリケーションが、.doc（Word文書）、.txt（Notepad文書）といった特定の拡張子に関連したプログラムを立ち上げることが可能だ。

　攻撃者はWord文書やインスタントメッセージに組み込んだリンクを使って特定の拡張子に関連付けられたプログラムを立ち上げることが可能だ。ただ、この脆弱性では攻撃者がプログラムに命令を受け渡すことはできないという。これができれば攻撃はもっと高度なものになるとSecuniaは説明している。

　Mozilla Foundationは7月8日、Windows版のFirefox、Thunderbird、Mozilla Application Suiteに見つかった同様の脆弱性に対応するパッチをリリースした。