マイクロソフトは4日、Internet Explorerの(以下IE)脆弱性「MS03-040」を公開。同社はMS03-040の深刻度を“緊急”としており、早急に修正パッチを導入するように推奨している。また、同時にWindows Media Playerの脆弱性修正パッチも公開された。いずれもWindows Updateサイトで更新をスキャンすることで、該当ソフトウェアのユーザーは修正パッチを導入できる。
任意のコードが実行される可能性のあるIEの脆弱性「MS03-040」
MS03-040は、Internet ExplorerがWebサーバーから返されたオブジェクトの種類を適切に確認できない問題により、ユーザーのPCで任意のプログラムが実行される可能性があるというもの。また、XMLデータの処理中にも、 Webサーバーから返されたオブジェクトの種類を適切に確認できない問題により、ユーザーのコンピュータで任意のプログラムが実行される可能性がある。
この脆弱性を持つバージョンは、Internet Explorer 6/6 SP1、Internet Explorer 5.5 SP2、Internet Explorer 5.01 SP3/SP4 for Windows 2000、Internet Explorer 6.0 for Windows Server 2003。
Internet Explorerの脆弱性であることから、攻撃者はこの脆弱性を利用したWebサイトやHTML形式のメールを作成することができる。このため、HTML形式のメールからも攻撃を受ける可能性があるとマイクロソフトは警告。攻撃者がこの脆弱性を利用すれば、ユーザーのPC上で任意のコードを実行することが可能となる。
ただし、今回の脆弱性では攻撃者は実行しているユーザーと同じ権限を持つにとどまり、管理者権限を持つことはできない。このため、ユーザー権限が制限されている環境では、危険は少なくなるという。
Windows Media Player用セキュリティ修正パッチ(KB828026)
マイクロソフトはInternet Explorerの脆弱性と同時に、Windows Media Playerを実行しているPCで、攻撃者がコマンドを実行できる可能性のあるセキュリティ問題を発表。修正パッチを公開した。対象となるのはWindows Media Player 6.4/7.1/9。
関連情報
■URL
Windows Updateサイト
http://windowsupdate.microsoft.com/
Internet Explorer 用の累積的な修正プログラム(MS03-040)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-040.asp
Windows Media Playerセキュリティ修正プログラム(英文)
http://support.microsoft.com/default.aspx?scid=kb;ja;828026#appliesto
警察庁@policeの警告
http://www.cyberpolice.go.jp/important/20031004_150932.html
( 工藤ひろえ )
2003/10/04 21:04
- ページの先頭へ-
|