MSのDirectX Media SDK脆弱性でエクスプロイトコードが登場

[ITmedia]

　MicrosoftのDirectX Media SDKに脆弱性が見つかった問題で、US-CERTは8月14日、この脆弱性を突いたエクスプロイトコードが公開されたと報告した。

　US-CERTが先に公開したアドバイザリーによると、この脆弱性はLive Picture Corporation製のDirectTransform FlashPix ActiveXコントロールに存在するバッファオーバフロー問題に起因する。MicrosoftのDirectX Media 6.0 SDKに問題のActiveXコントロールが含まれ、Internet Explorer（IE）経由で悪用される恐れがある。

　ユーザーが細工を施したHTML文書を閲覧すると、リモートの認証を受けない攻撃者が任意のコードを実行したり、IEをクラッシュさせることが可能になる。

　Microsoftは14日、8月の月例セキュリティ更新プログラムを公開したが、この問題に対処したパッチは含まれていない模様。US-CERTでは回避策として、IEでキルビットを設定してFlashPix ActiveXコントロールを無効にすることを推奨している。