2005年06月27日(月) 12時40分

「Outlook Express」の脆弱性実証コードが公開に--米セキュリティ対策企業が注意呼びかけ（CNET Japan）

　ハッキングサイトがMicrosoft「Outlook Express」の脆弱性をつくサンプルコードをばらまいたことで、先週より、同製品の脆弱性に関係する攻撃が発生する可能性が高まっている。

　French Security Incident Response Teamが米国時間20日に発した警告によると、この攻撃では、電子メールプログラムOutlook Expressの特定のバージョンを利用するユーザーが、ハッカーによって運営されるニュースグループを閲覧した際に、完全な支配権が奪われる可能性があるという。

　もっとも、ユーザーが悪質なニュースグループを閲覧しなければ攻撃は発生しないことから、セキュリティ専門家らは大規模な被害が発生するおそれは低いだろうと分析している。また、セキュリティ企業iDefenseのラボディレクターMichael Suttonは、ばらまかれた実証コードにはいくつか問題があると指摘した。

　「ユーザー自身が行わなければならない作業が相当あるため、全体的な危険性は低くなっている」（Sutton）

　念のためiDefenseでは、Microsoftが同脆弱性の修復のため先々週リリースしたパッチを適用するよう、脆弱なマシンを利用しているユーザーに勧めている。この問題は、「Network News Transfer Protocol」と呼ばれるOutlookのニュースリーダープログラムのコンポーネントに起因するもの。

　Microsoftは先々週、自社のセキュリティサイトのなかで同パッチを提供すると発表し、「攻撃者が完全なユーザー権限を取得することで、プログラムをインストールしたり、データを改ざん／削除したり、新しいアカウントを作成したりするおそれがある」と警告した。同社はこの問題がはらむ危険性について、独自の評価基準における「緊急」に次いで深刻な「重要」な脆弱性だとしている。

　Microsoftの関係者は、同社は実証用コードの存在を把握しているが、これを利用した攻撃はまだ検知していないと述べている。また同関係者によると、Microsoftは事態の監視を続けており、ユーザーにはパッチの適用を促していくという。さらに同社は、何らかの攻撃を受けた場合は、MicrosoftおよびFBIに通報してほしいと呼びかけている。

　Microsoftの発表では、脆弱性が発見されたのは、Windows2000/XPおよびWindows Server 2003向けのバージョン5.5/6.0を含む、Outlook Expressの複数のバージョンだという。なお、Outlook Expressプログラムを起動しない場合でも、同攻撃の被害に遭う可能性があるという。


この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

関連記事
IEのポップアップは「仕様」--MS、フィッシング詐欺の懸念に対応せず - 2005/06/24 12:24
スティーブ・バルマーの楽観的未来予測 - 2005/06/23 16:36
マイクロソフト、Gentooの創始者を採用--社内教育部門に配属へ - 2005/06/17 13:08
マイクロソフト、6月の月例パッチ公開--IEとWindowsの脆弱性を修正 - 2005/06/15 09:58

　■CNET Japanニューズレター（無料）
　 毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20050627-00000006-cnet-sci