Internet Watch logo
記事検索
最新ニュース

リモートで任意のコードが実行されてしまうZIPフォルダの脆弱性「MS04-034」


 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、圧縮(ZIP形式)フォルダの脆弱性を修正する「MS04-034」を公開した。深刻度は“緊急”。Windows XP SP2を除いたWindows Server 2003/XPに影響がある。

 MS04-034は、特別に細工された圧縮ファイルをZIPフォルダが処理する方法に未チェックのバッファが存在するために、リモートで任意のコードが実行されてしまう脆弱性の修正パッチ。攻撃者が、脆弱性を悪用することを目的にZIPファイルを作成することで、ユーザーが悪質なWebサイトを訪問した場合に、リモートでコードが実行される可能性があるという。

 また、管理者権限のユーザーがログオンした場合にこの脆弱性が悪用されると、プログラムのインストールやデータの表示、変更、削除が実行されてしまう可能性がある。このほか、管理者権限の新規アカウントを作成されてしまう可能性もあり、悪意ある攻撃者に、PCを完全にコントロールされてしまう恐れがあるという。

 MS04-034では、バッファに渡すメッセージの長さを検証する方法を変更。ZIPフォルダのバッファにメッセージを渡す前にこの脆弱性を排除する仕組みだ。MS04-034は、Windows Updateで適用できる。


関連情報

URL
  MS04-034
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-034.asp


( 鷹木 創 )
2004/10/13 13:27

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.