マイクロソフトは10日、「MSN Messenger」に情報漏洩の可能性がある脆弱性「MS04-010」を発表した。同社では深刻度を4段階中、上から3番目である“警告”と評価している。対象となるバージョンは、MSN Messenger 6.1/6.0。
この脆弱性は、MSN Messengerのファイルリクエスト処理方法が原因で発生する。攻撃者に細工を施されたリクエストを送信されると、任意のファイルを読み取られる可能性がある。ただし、攻撃者がこの脆弱性を悪用するためには、ユーザーのサインイン名と対象ファイルのパス(場所)を知っていなければならないため、深刻度は低く設定されている。なお、Windows Messengerにはこの脆弱性は存在しない。
マイクロソフトではこの脆弱性の一時的な回避策として、MSN Messengerの「禁止するメンバ」に「他のユーザー」を設定し、匿名ユーザーからの受信を禁止するように設定する方法を紹介している。ただしこの回避策では、「許可する」リストに攻撃者が含まれている場合には防御できないため、根本的な解決策にはならないと警告している。
脆弱性を修正するには、マイクロソフトから提供されているセキュリティ修正プログラムを適用すること。現在、同社WebサイトおよびWindows Updateからダウンロードできる。
関連情報
■URL
MS04-010
http://www.microsoft.com/japan/technet/security/bulletin/ms04-010.asp
( 大津 心 )
2004/03/10 11:37
- ページの先頭へ-
|