Windowsに新たな脆弱性――不正なサムネイルで悪用の恐れ
Windowsのグラフィックスレンダリングエンジンに未修正の脆弱性が見つかった。Windows VistaやXPが影響を受ける。
米Microsoftは1月4日、Windowsに新たな脆弱性が見つかったとしてアドバイザリーを公開した。問題を修正するための更新プログラムはまだリリースされていない。
同社によると、脆弱性はWindowsのグラフィックスレンダリングエンジンに存在する。OSはWindows Vista/Server 2003/Windows XPが影響を受ける。一方、Windows 7とWindows Server 2008 R2は影響を受けないという。
攻撃方法としては、細工を施したサムネイル画像をWordファイルやPowerPointファイルに仕込んで電子メールで送りつけたり、ファイル共有などを通じてユーザーに閲覧させたりする手口が考えられる。ユーザーがこれを見てしまうと、攻撃者に任意のコードを実行される恐れがある。
米SANS Internet Storm Centerによれば、この脆弱性に関する情報は2010年12月にセキュリティカンファレンスで発表され、脆弱性を突いたファイルの作成方法についてもプレゼンが行われたという。
しかしMicrosoftは、現時点でユーザーが攻撃を受けたり、被害を被ったりしているとの情報は入っていないと説明している。セキュリティソフトメーカーなどと協力して状況を監視し、悪用しようとする動きがあれば対策を講じる方針だという。
同社では脆弱性を修正するための更新プログラムの開発を進めている。ただし現時点では定例外で緊急リリースするような状況には至っていないとしており、今後の月例セキュリティ更新プログラムで対処する方針とみられる。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事ランキング
- NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
- 富士通とNECの業績見通しから探る「2025年度国内IT需要の行方」
- JERAが“脆弱性管理”に本気の理由 手作業の業務をどう変革したか?
- 富士通、"UiPathスキル学習ゲーム"を開発 「いつの間にか身に付く」がコンセプト
- 日本を標的にした大規模フィッシングキャンペーンが激増 その高度な手口
- Nmap 7.96がリリース ドメイン名の名前解決が49時間から1時間へと劇的高速化
- 従業員が約200種類のAIエージェントを作成 安全性やコスト管理、どうしている?
- リーダーが押さえるべきゼロトラストの最新7トレンド ガートナーが提言
- バグ報奨金制度が詐欺の温床に? curlプロジェクトで露見したマズイ実態
- もう従業員に「プロンプトなんか書けない」とぼやかせない仕組みを作る方法
ITmediaはアイティメディア株式会社の登録商標です。