ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

MS、WindowsのURI処理の脆弱性認める

» 2007年10月12日 08時50分 公開
[ITmedia]

 米Microsoftは10月10日、セキュリティアドバイザリーを公開し、Internet Explorer(IE)7を搭載したWindows XPとWindows Server 2003に、URI処理に関する脆弱性があることを認めた。

 この問題をめぐっては、FirefoxとIEの相互作用による脆弱性が7月に発覚し、どちらに原因があるかという論争に発展。その後Adobe Reader/AcrobatやSkypeなどのサードパーティーアプリケーションでも次々にIE関与の脆弱性が指摘され、各社が対処に乗り出しているが、Microsoftはこれまで自社製品の問題ではないとする立場を取っていた(関連記事)。

 しかしMicrosoftの10日のアドバイザリーでは、脆弱性はWindowsが不正なURL/URIを受け渡された際、適切に処理できないことに起因すると明記。認証を受けないURL/URIがアプリケーションからWindowsに受け渡されることにより、この問題が悪用される可能性があるとしている。攻撃者は、細工を施したURL/URIをアプリケーションに組み込んでリンクをクリックさせるなどの方法で、任意のコードを実行することが可能になる。

 Microsoftはこの問題を修正するアップデートを開発中。なお、Windows Vistaや、IE 7をインストールしていないWindowsはこの問題の影響を受けないという。

脆弱性を認めた理由

 この問題を調べていた英heise Securityが5日にサイトに掲載した記事によれば、Microsoftからは先に「徹底調査の結果、これはMicrosoft製品の脆弱性ではないことが判明しました」との返答が寄せられていた。

 Microsoftセキュリティ対策センター(MSRC)は10日のブログでこの問題の経緯について釈明。今回のアドバイザリーを出した理由として、この脆弱性が攻撃に利用される危険が高まったこと、この問題にまつわる混乱が見られること、および「われわれがheiseに不正確な情報を与えて混乱を助長した」ことを挙げている。

 同社が開発中のアップデートは、「すべてのアプリケーションを不正なURIから保護する一助になる」ものだと説明。一方でアプリケーションベンダー側にも、認証強化の措置を取るよう呼びかけている。

関連キーワード

Windows | Internet Explorer | Acrobat | Outlook | パッチ | Skype


Copyright © ITmedia, Inc. All Rights Reserved.