ITmedia エンタープライズ

エンタープライズ：ニュース

2002/10/03 22:56:00 更新

Windowsのヘルプ機能にセキュリティホール

マイクロソフトは10月3日、複数の新たなセキュリティホール情報を公開した。うち1つはWindowsのヘルプ機能に起因するもので、バッファオーバーフローの問題があるという。

　マイクロソフトは10月3日、複数の新たなセキュリティホール情報を公開した。このうち1つでは、Windows OSのヘルプ機能に問題があり、最悪の場合、ユーザーが意図しないアプリケーションが動作させられてしまう可能性があるという。同社は問題の深刻性を最大で「高」としている。

　今回公表された問題「MS02-055」は、Windows 98/Me、Windows NT 4.0/2000/XPと、広範なWindowsプラットフォームに影響を与えるものだ。同社では、問題を修正するためのパッチを公開しているため、これを適用する。ただし適用にはInternet Explorer 5.01/5.5もしくは6が必要だ。

　問題の1つは、ヘルプ機能で用いられるHTML Help ActiveXコントロールに原因がある。悪意あるWebサイトにアクセスしたり、HTMLメールを開いた場合に、バッファオーバーフローが起き、攻撃者がユーザーのマシン上でコードを実行できる可能性があるという。

　もう1つは、chmファイル（Compiled HTML Helpファイル）の取り扱い方に起因するものだ。Webから「Temporary Internet File」フォルダ内にダウンロードされたchmファイルを実行するとき、Internet Exploereのゾーン判定が回避され、当該Webサイトではなく、ローカルコンピュータゾーンが適用されてしまう可能性がある。

　なおマイクロソフトは他にも、「MS02-054: ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される」「MS02-057: Services for Unix 3.0 に含まれる Interix SDKの問題によりコードが実行される (Q329209)」という問題を公開したほか、SQL Server用の累積的な修正プログラム（MS02-056）も公開している。

関連リンク
MS02-055: Windows ヘルプ機能の未チェックのバッファにより、コードが実行される (Q323255) （日本語要約情報）
MS02-055: Unchecked Buffer in Windows Help Facility Could Enable Code Execution (Q323255) （英語）
MS02-054: ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される
MS02-057: Services for Unix 3.0 に含まれる Interix SDKの問題によりコードが実行される (Q329209)
SQL Server用の累積的な修正プログラム（MS02-056）

[ITmedia]