リビング+:ニュース |
2003/07/24 14:55:00 更新 |
DirectXにバッファオーバーフロー脆弱性
マイクロソフトは、DirectX、Windows NT4.0、SQL Serverの3製品について、あらたな脆弱性を警告、修正ファイルの配布を開始した。
3件発表された修正プログラムのうち、緊急(Critical)扱いとされているのが、DirectXにあるDirectShow機能のバッファオーバーラン脆弱性。
対象となる製品は、DirectX5.2、6.1、7.0、7.0a、8.1、9.0a。およびWindows NT4.0 / NT4.0TSEに、Windows Media Player 6.4またはInternet Explorer 6 SP1をインストールした構成。
DirectShowのMIDIファイル処理にある未チェックのバッファが原因で、ログオンしているユーザの権限下で攻撃者の指定するコードが実行されてしまう。HTMLメールやウェブページでも攻撃可能ということなので、すみやかに修正の導入またはDirectX 9.0bへのバージョンアップをおこなおう。
深刻度が一段階低い「重要(Important)」とされているのが、SQL Serverの累積パッチ。これまでの修正にあわせて、あらたに名前パイプによる乗っ取りやDoS攻撃、ローカルシステムに対するバッファオーバーフロー脆弱性が修正されている。対象製品はSQL Server 7.0、Data Engine 1.0(MSDE 1.0)、SQL Server 2000、SQL Server 2000 Desktop Engine(MSDE 2000)、SQL Server 2000 Desktop Engine(Windows)。
このほか、Windows NT4.0 ServerおよびWindows NT4.0 Terminal Server Edition(TSE)について、ファイル管理機能にDoS攻撃を受けるおそれのある脆弱性があるということで、修正プログラムが提供されている。
特にDirectXの脆弱性は対象バージョンが広範でもあるため、早急に対応しておきたい。
関連リンク
マイクロソフト
[記事提供:RBBTODAY]