デンマークのSecuniaは、Windows Media Player(WMP)9のActiveXコントロールに脆弱性があると警告した。危険度は5段階中下から2番目の“Less critical”。ActiveXを無効に設定することや、Windows XPユーザーに対しては、WMP10へのバージョンアップを呼びかけている。
Secuniaによれば、WMP9のActiveXコントロールに2つの脆弱性がある。1つは、ActiveXコントロールのメソッドで、指定したインデックス番号を使用して属性の値を取得する「getItemInfoByAtom()」にエラーが発生し、悪意のあるWebサイトからローカルファイルのサイズなどが変更されてしまうというもの。
もう1つは、メディア項目の指定した属性値を設定するメソッド「setItemInfo()」と再生リストの属性値を取得するメソッド「setItemInfo()」にいくつかのエラーが発生するというもの。こちらの脆弱性を悪用することで、ローカルのWMAファイルに記録されたアーティスト名や、アルバム名、楽曲名などが改ざんされたり、漏洩してしまう。
なお、Secuniaでは今回の脆弱性をセキュリティ修正プログラム全てを適用したWindows XP SP1/SP2、Windows 2000 SP4で確認したという。マイクロソフトでは、「現在のところ、Windows 2000用などに提供されているWMP9では再現を確認できていないが、引き続き調査を続ける」としている。
関連情報
■URL
セキュリティアドバイザリ(英文)
http://secunia.com/advisories/13578/
■関連記事
・ マイクロソフト、「Windows Media Player 10」日本語版を公開(2004/10/20)
( 鷹木 創 )
2004/12/21 14:26
- ページの先頭へ-
|