【 ここから本文 】
- TOP
- > News : セキュリティ
- >
セキュリティ
ソーシャルブックマークに登録 :
印刷用ページの表示
[世界]
Windows Media PlayerのXMLタグに脆弱性が発覚
コンピュータが乗っ取られるおそれも
(2007年09月20日)
英国のセキュリティ研究団体は9月18日、米国マイクロソフトのメディア・プレーヤ「Windows Media Player」に、コンピュータが乗っ取られるおそれのある脆弱性があると警告した。なお同団体は先週、米国アップルのメディア・プレーヤ「QuickTime」の脆弱性を指摘している。
同団体で不正侵入の研究を担当しているペトコ・ペトコフ氏は自身のブログに、「HTMLView value」XMLタグの脆弱性を標的とした、複数の実証サンプル・コードを掲載した。
このXMLタグは、Windows Media Player上でユーザーが選択したWebページを表示させるためのもので、「.asx」などのWindows Media Playerファイル・フォーマットをサポートするのに使用されている。
ペトコフ氏によると、攻撃者がこのXMLタグの脆弱性を悪用すれば、任意のWebページを、攻撃対象者のWindows Media Player上で表示させることが可能になるという。
ペトコフ氏は、すべてのパッチを適用したWindows XP Service Pack(SP)2とInternet Explorer(IE)6/7でも、Windows Media Playerに悪質なWebページを表示させることに成功している。
Windows Media Player10/11は、悪質と疑われるファイルにアクセスしようとすると、ユーザーにアクセスを許可するかどうかを確認するダイアログ・ボックスが表示される。しかし、Windows Media Player 9以前のバージョンは、こうした確認ダイアログ・ボックスが表示されない。
シマンテックは9月18日深夜、同社の早期警告サービス「DeepSight」で、ペトコフ氏らが発見した脆弱性に注意するよう、ユーザーへの呼びかけを開始した。
ちなみに9月19日以降、ペトコフ氏が公開した実証コードや、該当するブログは閲覧不可能になっている。しかし、「Google」のキャッシュを利用すれば、問題の実証コードや解説はだれでも閲覧できる。
米国マイクロソフトの広報担当者は9月19日、ペトコフ氏の指摘を認識しているとしながらも、危険性は高くないという見解を明らかにした。
「指摘された脆弱性を悪用しようとする攻撃は、現時点では確認されていない。顧客にも被害は出ていない。マイクロソフトがこれらを脆弱性と認めた場合は、対策を検討するつもりだ」(マイクロソフト広報担当)
なお、マイクロソフトは次回の月例セキュリティ・アップデートを、10月9日に予定しているという。
(グレッグ・カイザー/Computerworld オンライン米国版)
[世界]Windows 2000の脆弱性を突く危険な実証コードが登場
シマンテックは脆弱性の危険度評価を7.1から8.5へ引き上げ
[世界/国内]マイクロソフト、「緊急」含む5件のセキュリティ修正パッチを来週配布
「緊急」パッチはWindows 2000 SP4が対象
[欧州]マイクロソフト、欧州委との反トラスト法違反控訴審で敗訴
大方の予想に反し、裁判所は欧州委の主張を全面的に支持
[世界]モジラ、Firefoxの“IE問題”で修正版を緊急リリース
IEの脆弱性に対する自衛措置であることを強調
[米国]マイクロソフト、Windows Vista SP1のベータ版をまもなくリリース
正式版のリリースは「2008年1Q中を目指す」と日程を断定せず
Windows版Safariのアップデート版も同時にリリース
