2004年07月14日(水) 15時32分
タスクスケジューラやIEのヘルプ機能など、2種類の緊急な脆弱性(impress Watch)
マイクロソフトは14日、7月の定例セキュリティ修正プログラム(パッチ)として、Windowsの“緊急”な脆弱性を2件、“重要”な脆弱性を3件発表した。ここでは、同社が最も危険度の高い“緊急”と評価した脆弱性2種類を紹介する。
緊急と評価された脆弱性は、「タスクスケジューラの脆弱性(MS04-022)」と「HTMLヘルプの脆弱性(MS04-023)」の2種類であり、いずれの脆弱性も攻撃者に悪用されると任意のコードを実行される可能性がある非常に危険なもの。早急にパッチを適用することが推奨される。
タスクスケジューラの脆弱性は、タスクスケジューラがアプリケーション名をチェックする方法に問題があり、バッファオーバーフローが発生する可能性があるというもの。タスクスケジューラとは、特定の時刻を指定してプログラムやコマンドなどを自動的に実行させることができる機能だ。拡張子「.job」のタスク情報をもとにして、動作する。
実際には、細工を施したタスク情報を掲載したWebサイトやファイルを、Webブラウザやエクスプローラなどで閲覧した場合に、任意のコードなどが実行されてしまう可能性があるという。マイクロソフトによると、この脆弱性を攻撃する方法は多数存在し、PCを乗っ取られる可能性もあるため、非常に危険度が高いと警告している。影響を受けるOSは、Windows XP/2000とInternet Explorer 6 SP1を導入しているWindows NT 4.0。
HTMLヘルプの脆弱性は、Windowsのヘルプ機能である「HTMLヘルプ」に関する脆弱性で、「HTMLヘルプの脆弱性」と「showHelpヘルプの脆弱性」を含んでいる。原因は、いずれの場合もHTMLヘルプが読み込むコンテンツを適切に検証していないため。
したがって、この脆弱性を悪用して細工を施したWebサイトを閲覧したり、メールのリンクをクリックしただけで、任意のコードが実行される可能性がある。また、この脆弱性を悪用するコードは、すでにインターネット上で公開されているため危険性は高く、早急にパッチを適用することが推奨される。対象OSは、Windows Server 2003/XP/2000。
いずれの脆弱性も、マイクロソフトよりパッチが公開されているため、パッチを適用すれば修正可能だ。パッチは、WindowsUpdateもしくは同社Webサイト上からダウンロードできる。
■ URL
タスクスケジューラの脆弱性(MS04-022)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-022.asp
HTMLヘルプの脆弱性(MS04-023)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-023.asp
(大津 心)
2004/07/14 12:23(impress Watch)
http://headlines.yahoo.co.jp/hl?a=20040714-00000007-imp-sci