MS、ショートカット脆弱性の回避策適用ツール「Fix it」を公開


公開された「Fix it」を適用すると、スタートメニューなどすべてのショートカットアイコンが白紙の表示になる

 マイクロソフトは21日、Windowsのショートカットファイル(.lnkファイル)に関する脆弱性について、セキュリティアドバイザリを更新し、回避策を適用するためのツール「Fix it」を公開した。

 この脆弱性は、Windowsがショートカットファイルを処理する際の不具合により、特別に細工されたショートカットファイルのアイコンを表示した場合に、任意のプログラムを実行させられる危険があるもの。現在マイクロソフトがサポートしているすべてのOS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)に影響がある。

 マイクロソフトのセキュリティアドバイザリでは、特別に細工したショートカットファイルをUSBメモリーなどのリムーバブルドライブに混入させる方法や、ネットワーク共有やWebDAV共有で悪用される可能性があるとしていたが、さらにOfficeドキュメントなどにショートカットを埋め込むことで、悪意のあるサイトをウェブブラウザーで閲覧した場合にも、脆弱性を悪用される可能性があることを追記した。

 マイクロソフトでは、現在この脆弱性を修正するためのセキュリティ更新プログラム(修正パッチ)の開発を進めているが、修正パッチ提供までの回避策を簡単に適用できるツール「Fix it」の提供を開始した。Fix itを適用した場合、ショートカットファイルのアイコン表示が無効となり、デスクトップやスタートメニューなど大部分のショートカットアイコンが白紙のアイコン表示となる。

 また、セキュリティアドバイザリではこのほかの回避策として、WebDAV経由での攻撃を回避するためにWebClientサービスを無効にすることや、インターネットゲートウェイで.lnkファイルと.pifファイルのダウンロードをブロックすることを挙げている。


関連情報

(三柳 英樹)

2010/7/22 15:35