悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年07月10日(木) 09時05分

広範なWindowsプラットフォームに「緊急」の脆弱性ZDNet

 広範なWindowsプラットフォームに、ユーザーの意図しないコードを実行されてしまう可能性があるセキュリティホールが発見された。Microsoftは米国時間の7月9日、新たに3つのセキュリティホールについて警告した。程なく日本語での情報提供も開始されている。

 そのうち1つは、HTMLコンバーターにバッファオーバーフローの問題が存在する(MS03-023)というものだ。悪意あるコードが仕込まれたWebサイトを閲覧したり、HTML形式のメールを開くことで、この脆弱性を悪用され、ログインしているユーザーの権限でシステム上の任意のコードを実行されるおそれがある。

 MS03-023が影響を及ぼすプラットフォームはWindows 98/MeのほかWindows NT 4.0/2000/XP、それにWindows Server 2003と幅広い。Windows Server 2003では、Internet Explorerの「Enhanced Security Configuration」がデフォルトでオンになっており、これを解除しない限り、攻撃コードが自動的に実行されることはないが、それ以外のプラットフォームでは「緊急」の脆弱性と位置づけられている。

 MicrosoftではWindows Updateおよび同社Webサイトを通じて、修正用のパッチを提供している。早期の適用が望ましいだろう。

 2つめの脆弱性は、SMBパケットのパラメータの処理に問題が存在し、同じくバッファオーバーフローが起こる可能性がある(MS03-024)というもの。特定の細工を施したSMBリクエストパケットを送り込むことで、Windowsが異常終了に追い込まれたり、メモリ内のデータが破損したり、最悪の場合は攻撃者が選んだコードを実行されてしまうおそれがある。

 だが同社の情報によると、MS03-023のようにWebサイトの閲覧などをきっかけに自動的に悪用されることはなく、攻撃者が、ターゲットとなるPCでの認証を経る必要があるという。このため深刻性は上から2つめの「重要」とされている。

 この問題の影響を受けるのはWindows NT 4.0/2000/XP。同じくパッチがWindows Updateと同社Webサイトで提供されている。このうちWindows 2000向けのパッチは、先日公開されたWindows 2000 Service Pack 4(SP4)に含まれている。

 3つめの問題は、Windows 2000のみに影響を及ぼすものだ。ユーティリティマネージャのWindowsメッセージ処理に問題があり、悪意あるユーザーに権限の昇格を許すおそれがある(MS03-025)。攻撃者がターゲットとなるPCに対話的にログインした上で、特定形式のWindowsメッセージを送り込むことにより、システム全体のコントロール権限を取得されてしまう可能性がある。この問題に対するパッチも提供されており、Windows Updateなどで入手できるほか、Windows 2000 SP4にも含まれている。(ZDNet)

http://headlines.yahoo.co.jp/hl?a=20030710-00000012-zdn-sci