2004年12月21日(火) 15時31分

Windows Media Player 9に脆弱性、音楽ファイル属性情報が流出する可能性も（impress Watch）

　デンマークのSecuniaは、Windows Media Player（WMP）9のActiveXコントロールに脆弱性があると警告した。危険度は5段階中下から2番目の“Less critical”。ActiveXを無効に設定することや、Windows XPユーザーに対しては、WMP10へのバージョンアップを呼びかけている。

　Secuniaによれば、WMP9のActiveXコントロールに2つの脆弱性がある。1つは、ActiveXコントロールのメソッドで、指定したインデックス番号を使用して属性の値を取得する「getItemInfoByAtom()」にエラーが発生し、悪意のあるWebサイトからローカルファイルのサイズなどが変更されてしまうというもの。

　もう1つは、メディア項目の指定した属性値を設定するメソッド「setItemInfo()」と再生リストの属性値を取得するメソッド「setItemInfo()」にいくつかのエラーが発生するというもの。こちらの脆弱性を悪用することで、ローカルのWMAファイルに記録されたアーティスト名や、アルバム名、楽曲名などが改ざんされたり、漏洩してしまう。

　なお、Secuniaでは今回の脆弱性をセキュリティ修正プログラム全てを適用したWindows XP SP1/SP2、Windows 2000 SP4で確認したという。マイクロソフトでは、「現在のところ、Windows 2000用などに提供されているWMP9では再現を確認できていないが、引き続き調査を続ける」としている。

関連情報

■URL

　 セキュリティアドバイザリ（英文）

　 http://secunia.com/advisories/13578/

■関連記事

・ マイクロソフト、「Windows Media Player 10」日本語版を公開（2004/10/20）

（ 鷹木 創 ）

2004/12/21 14:26

http://headlines.yahoo.co.jp/hl?a=20041221-00000003-imp-sci