Microsoft DirectXに新たな脆弱性が見つかる:QuickTimeファイルで悪用
すでに限定的な攻撃が発生しており、Microsoftはセキュリティアップデートを開発中だ。
Microsoftは5月29日、DirectX関連の脆弱性が新たに発見されたとして、セキュリティアドバイザリーを公開して注意を呼びかけた。限定的な攻撃が発生したとみられ、問題解決のためのセキュリティアップデートを現在開発しているという。
セキュリティ対策センター(MSRC)のブログなどによると、脆弱性はMicrosoft DirectShowのQuickTimeパーサに存在する。細工を施したQuickTimeメディアファイルをユーザーが開いた場合、リモートでコードが実行される恐れがある。なお、AppleのQuickTimeに脆弱性があるわけではない。
影響を受けるのはWindows 2000、Windows XP、Windows Server 2003。一方、Windows VistaとWindows Server 2008、Windows 7は影響を受けないことが確認された。
Microsoftのアドバイザリーでは、修正パッチが公開されるまでの一時的な回避策として、quartz.dllでQuickTimeコンテンツの解析を無効にする方法などを紹介している。
また、アドバイザリーと併せて公開したサポート技術情報「971778」には、簡単に回避策を実装できる「Fix it for me」というコーナーを設けた。このページで「Fix it」というボタンをクリックすると、自動的に回避策が適用され、quartz.dllのQuickTimeコンテンツ解析が無効になる。その隣には、この回避策を無効にするボタンも用意されている。
関連記事
- MicrosoftがIISの脆弱性を確認、権限昇格の恐れ
MicrosoftがIISの脆弱性についてアドバイザリーを出した。影響を受けるのはバージョン5.0、5.1、6.0。 - MSが8件の月例パッチを公開、ExcelやWordPadの脆弱性を解決
8件のうち5件が「緊急」レベル。既に悪用コードが出回っている問題も多数含まれている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.