WMP 7.1と8.0に任意のプログラムが実行される深刻な脆弱性

■URL
http://www.microsoft.com/japan/technet/security/bulletin/MS03-017ov.asp
http://www.microsoft.com/technet/security/bulletin/MS03-017.asp (英文)

　マイクロソフト株式会社は8日、「Windows Media Player 7.1」（以下、WMP7.1）と「Windows Media Player for Windows XP(Version 8.0)」（以下、WMPXP）に任意のプログラムが実行される深刻な脆弱性があると発表した。同社では、最も深刻度の高い“緊急”として警告している。

　脆弱性は、「スキンファイル」のダウンロード処理の問題により不正なプログラムが実行される可能性があるというもの。この脆弱性を悪意のあるユーザーに悪用された場合、ユーザーのPC上で任意のプログラムが実行される可能性があるという。

　実際にこの脆弱性を利用すると、攻撃者はWebサイトやHTMLメールに細工を施したURLを埋め込むことにより、攻撃者がユーザーのPC上の任意のフォルダに対してスキンファイルを保存できるようなり、さらに通常のスキンファイルの拡張子(.WMZ)と異なるファイルをスキンファイルと見せかけてダウンロードさせることができる。

　対象となるバージョンは、WMP7.1とWMPXPとなっており、Windows Media Player 9は対象にならないという。また、WMP7.1以前のバージョンに関しては、サポート対象外でテストしていないため、影響を受けるかどうかはわからないとしている。

　対策は、マイクロソフトから提供されている修正パッチを適用すること。修正パッチは、同社Webサイト上からダウンロードできるほか、Windows Updateからも入手可能だ。

(2003/5/8)

[Reported by otsu-j@impress.co.jp]