Windowsに新たな脆弱性――不正なサムネイルで悪用の恐れ

Windowsのグラフィックスレンダリングエンジンに未修正の脆弱性が見つかった。Windows VistaやXPが影響を受ける。

[鈴木聖子，ITmedia]

　米Microsoftは1月4日、Windowsに新たな脆弱性が見つかったとしてアドバイザリーを公開した。問題を修正するための更新プログラムはまだリリースされていない。

　同社によると、脆弱性はWindowsのグラフィックスレンダリングエンジンに存在する。OSはWindows Vista／Server 2003／Windows XPが影響を受ける。一方、Windows 7とWindows Server 2008 R2は影響を受けないという。

　攻撃方法としては、細工を施したサムネイル画像をWordファイルやPowerPointファイルに仕込んで電子メールで送りつけたり、ファイル共有などを通じてユーザーに閲覧させたりする手口が考えられる。ユーザーがこれを見てしまうと、攻撃者に任意のコードを実行される恐れがある。

　米SANS Internet Storm Centerによれば、この脆弱性に関する情報は2010年12月にセキュリティカンファレンスで発表され、脆弱性を突いたファイルの作成方法についてもプレゼンが行われたという。

　しかしMicrosoftは、現時点でユーザーが攻撃を受けたり、被害を被ったりしているとの情報は入っていないと説明している。セキュリティソフトメーカーなどと協力して状況を監視し、悪用しようとする動きがあれば対策を講じる方針だという。

　同社では脆弱性を修正するための更新プログラムの開発を進めている。ただし現時点では定例外で緊急リリースするような状況には至っていないとしており、今後の月例セキュリティ更新プログラムで対処する方針とみられる。