2003年07月04日(金) 12時22分

MS、Windows 2000 の ShellExecute 関数にあった脆弱性を修正（japan.internet.com）

Microsoft ( NASDAQ:MSFT ) が、先ごろ『 Windows2000ServicePack4 』を公開した。Little eArth Corporation によると、Windows 2000 の ShellExecute API にあったバッファオーバフローの脆弱性が直っているという。同社 SecureNet Service (SNS) 部門は、同脆弱性を半年ほど前に発見したという。

同脆弱性が存在するのは、『Windows 2000 Datacenter Server』『Windows 2000 Advanced Server』『Windows 2000 Server』『Windows 2000 Professional』で、IT セキュリティサービス会社 Secunia は、この脆弱性の危険度を「中程度」としている。

問題の脆弱性は、Windows 2000 API の ShellExecute 関数の第3引数に、異常に長い文字列を参照するポインターを与えると発現するもので、4000バイト程度の文字列でバッファオーバフローが起こる。同関数は、指定したファイルの拡張子に関連付けされたアプリケーションを実行するもの。

ShellExecute 関数は非常に一般的な関数で、Web ブラウザや Eメールクライアントをはじめ、テキストエディタなど多数のアプリケーションが、同機能を用いてファイル実行を実現している。


最新ITニュースメールの購読申込はこちら
http://japan.internet.com/mail/newsletters.html （japan.internet.com）

http://headlines.yahoo.co.jp/hl?a=20030704-00000004-inet-sci