悪のニュース記事悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。 また、記事に対するコメントや追加情報を投稿することが出来ます。 |
2003年03月20日(木) 09時22分
Windows全バージョンに「緊急」の脆弱性(ZDNet)Windowsの全バージョンで、悪質なWebサイトやHTML形式の電子メールを使ってPCが乗っ取られてしまう脆弱性が発見され、Microsoftが3月19日警告を発した。この脆弱性はWindowsのスクリプティングコンポーネントにあり、攻撃者は同スクリプティングエンジンを利用して、あたかもプログラムがPC上でローカルに実行されたかのように見せかけて自分のプログラムを実行したり、システムを乗っ取ることが可能になる。Microsoftはこの脆弱性の最大深刻度を「Critical(緊急)」と評価している。 この脆弱性はWindows 98からWindows XPまでの全Windows(98/98SE/Me/NT4/NT4 Terminal Server Edition/2000/XP)に影響するが、電子メールクライアントにセキュリティ対策が施されていれば、このようなHTMLメールによる攻撃は防ぐことが可能。また、Webページ経由でこれを悪用するには、ユーザーが実際に悪質なサイトを訪れる必要がある。 Microsoftセキュリティ対策センターのプログラムマネジャーIain Mulholland氏は「Outlookの旧バージョンを使っている場合のみ脅威となる」と説明。また、この脆弱性からウイルスを作成するのは難しいだろうと言い添えた。 このWindowsの脆弱性は、WindowsがMicrosoft版のJavaScriptであるJScript(ECMAScript Edition 3)を処理する方法をめぐって発生する。 攻撃者は、特別に生成したスクリプトを電子メールで送りつけるか、そうしたスクリプトをWebサイトに埋め込んで、Internet Explorerでロードさせる方法でこれを悪用できる。 Mulholland氏によると、スクリプトを実行させない電子メールクライアントとブラウザでは攻撃は防ぐことができる。また、「Outlook Express 6.0」と「Outlook 2002」では、デフォルトの状態で利用していればHTMLメールによる攻撃の被害は受けない。また、これ以前のバージョンでもOutlook E-mail Security Updateが適用されていれば被害は受けない。 各バージョンのWindows用のパッチはMicrosoftのWebサイトとWindows Updateで提供。 ■米Microsoftの警告ページ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-008.asp?tag=nl ■日本のマイクロソフトのセキュリティページ http://www.microsoft.com/japan/security/(ZDNet) |