エンタープライズ:ニュース | 2002/10/03 22:56:00 更新 |
Windowsのヘルプ機能にセキュリティホール
マイクロソフトは10月3日、複数の新たなセキュリティホール情報を公開した。うち1つはWindowsのヘルプ機能に起因するもので、バッファオーバーフローの問題があるという。
マイクロソフトは10月3日、複数の新たなセキュリティホール情報を公開した。このうち1つでは、Windows OSのヘルプ機能に問題があり、最悪の場合、ユーザーが意図しないアプリケーションが動作させられてしまう可能性があるという。同社は問題の深刻性を最大で「高」としている。
今回公表された問題「MS02-055」は、Windows 98/Me、Windows NT 4.0/2000/XPと、広範なWindowsプラットフォームに影響を与えるものだ。同社では、問題を修正するためのパッチを公開しているため、これを適用する。ただし適用にはInternet Explorer 5.01/5.5もしくは6が必要だ。
問題の1つは、ヘルプ機能で用いられるHTML Help ActiveXコントロールに原因がある。悪意あるWebサイトにアクセスしたり、HTMLメールを開いた場合に、バッファオーバーフローが起き、攻撃者がユーザーのマシン上でコードを実行できる可能性があるという。
もう1つは、chmファイル(Compiled HTML Helpファイル)の取り扱い方に起因するものだ。Webから「Temporary Internet File」フォルダ内にダウンロードされたchmファイルを実行するとき、Internet Exploereのゾーン判定が回避され、当該Webサイトではなく、ローカルコンピュータゾーンが適用されてしまう可能性がある。
なおマイクロソフトは他にも、「MS02-054: ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される」「MS02-057: Services for Unix 3.0 に含まれる Interix SDKの問題によりコードが実行される (Q329209)」という問題を公開したほか、SQL Server用の累積的な修正プログラム(MS02-056)も公開している。
関連リンクMS02-055: Windows ヘルプ機能の未チェックのバッファにより、コードが実行される (Q323255) (日本語要約情報)
MS02-055: Unchecked Buffer in Windows Help Facility Could Enable Code Execution (Q323255) (英語)
MS02-054: ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される
MS02-057: Services for Unix 3.0 に含まれる Interix SDKの問題によりコードが実行される (Q329209)
SQL Server用の累積的な修正プログラム(MS02-056)
[ITmedia]