　米SANS Instituteは12月28日、Windows OSに、パッチが存在しない新たな脆弱性が発覚したことをWebサイトを通じて警告した。この脆弱性を悪用するWebサイトも公開されている。年末年始で私用でのインターネット利用やグリーティングカードなどのやり取りが活発になるこの時期だけに、特に注意したい。

　この脆弱性は、Windows OSが備える画像処理ライブラリ「Graphics Rendering Engine」に存在する。Webサイトを通じて、細工を施したWindowsメタファイル（WMF）形式のファイルを開くと、任意のコードを実行される可能性がある。

　事実悪用サイトでは、HTMLファイルを開くだけで脆弱性を突かれ、トロイの木馬のダウンロードが試みられるという。SANSによると、これはアンチウイルス／スパイウェアソフトを装ったプログラムで、マルウェア削除のために正式版を購入するようユーザーを騙す悪質なものだ（関連記事）。

　Bugtraqメーリングリストへの投稿やSANSによると、この脆弱性は最新のパッチをすべて適用したWindows XP SP2にも存在するという。さらにSANSは、AMD64マシンでの結果と断りながらも、攻撃サイトに試しにアクセスしたところ、バッファオーバーフローの発生を防ぐDEP機能が動作したことも報告している。（追記：当初の訳ではバッファオーバーフローがDEPを停止させるという逆の意味になっていたため修正しました）

　Microsoftは2005年11月の月例パッチ（MS05-053）で、同じくGraphics Rendering Engineに存在する脆弱性を修正していた。しかし今回悪用されている脆弱性は、これとは別の問題と見られる。今のところ、Microsoft側からはこの問題に対する情報やパッチは提供されていない。

　したがって攻撃を避けるには、「信用できないWebサイトは訪れない」「不用意にリンクをクリックしない」といった手段で自衛するしかない。併せて、多少不便になるが管理者権限でのPC利用を極力避けるとともに、ウイルス対策ソフトを最新の状態で利用するようにしたい。

　なお「Internet Explorer以外のWebブラウザを利用する」ことも1つの手だが、SANSの情報によると、たとえFirefoxを利用していても完全に安全というわけではない。Firefoxで攻撃サイトを訪れた場合、Windows標準の画像ビューワー「Windows Picture and Fax Viewer」で画像を開くかどうかを尋ねられ、もしここで「はい」を選択してしまうと、同じように攻撃コードが実行されてしまうという。