Windows Vistaの音声コマンド機能を悪用し、Webページに仕掛けた音声ファイルを使ってコマンドを実行できてしまう問題がセキュリティメーリングリストで報告された。
セキュリティソフトメーカーのMcAfeeが1月31日のブログに掲載した解説によると、コマンドを付けて作成したMP3などの音声ファイルをWebページでホスティングしておくと、そのページを開いたユーザーのVista上で音声ファイルが再生され、コマンドが実行される可能性がある。
例えば「Start, execute, CMD, shutdown-r」というコマンド付きのMP3ファイルを作成し、このMP3を再生するWebページをユーザーが訪れると、コンピュータが再起動させられてしまうという。
メーリングリストの投稿では、実験的に作成したファイルで音声コマンドエンジンを起動させてWindows Explorerを開き、文書を削除してごみ箱を空にすることができてしまったと報告している。この過程でUAC(ユーザーアカウントコントロール)に引っかかることはなく、ユーザーが何も操作しなくても実行されたという。
McAfeeではこのVistaの音声コマンド機能について、それほど大きな問題だとは思わないとしながらも、必要ないならオフにするようアドバイスしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR