【セキュリティ】
~Service Pack 1をしていないマシンには影響なし
Windows XPにService Pack 1を適用すると発生する脆弱性
■URL
http://www.microsoft.com/japan/technet/security/bulletin/MS03-027ov.asp
マイクロソフト株式会社は17日、Windows XPのService Pack 1(SP1)を適用したマシンだけが影響を受ける脆弱性を公開した。この脆弱性を悪用されると、任意のコードを実行される可能性があるが、マイクロソフトでは深刻度を“重要”としている。
この脆弱性は、Windows Shellに含まれるファイル・フォルダなどの属性を表示する機能に存在し、攻撃者がこれを悪用した場合、バッファオーバーラン攻撃が行なわれる可能性があるというものだ。SP1を適用したWindows XPにのみ存在し、適用していないWindows XPは影響を受けないという。
具体的には、属性を表示する際に利用する「Desktop.ini」に攻撃者が細工を施し、ネットワークの共有ファイル上に設置すると、細工が施された任意コードが実行される可能性がある。ただし、攻撃を実際に行なうためには、攻撃対象のユーザーが利用しているネットワーク内の共有フォルダに細工を施した「Desktop.ini」を設置しなければならないため、深刻度は2番目の“重要”と定義されている。
この脆弱性を修正するためには、マイクロソフトより提供されている修正パッチを適用すればよい。修正パッチは「Windows Update」や同社Webサイト上からダウンロードできる。ただし、前述のように影響を受けるのはSP1を適用したWindows XPだけなので、注意が必要だ。
◎関連記事
■WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性
(2003/7/17)
[Reported by otsu-j@impress.co.jp]
|