|
|
■URL
http://www.microsoft.com/technet/security/bulletin/ms01-012.asp
http://www.microsoft.com/windows/ie/download/critical/q283908/default.asp
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-012
米Microsoftは23日、「Outlook」と「Outlook Express(OE)」の電子名刺コンポーネント「vCard」のセキュリティホールを警告した。対象となるのは、Outlook 97/2000、OE 5.01/5.5。このセキュリティホールを悪用すると、攻撃者が任意のコードを実行できる可能性がある。
このセキュリティホールは、vCardを処理するバッファー(一時データ保存領域)で起きる「バッファオーバーラン」によるもの。悪意のあるコードを含んだvCardを開いた場合、任意のコードをユーザーのマシンで実行させて、データの改変や消去、Webサイトへの接続、ハードディスクのフォーマットなど、任意の操作を行うことが可能になるという。
Microsoftは23日、英語版のパッチをリリース。OEはInternet Explorer(IE)の1部として提供されているため、パッチは「IE 5.5 Service Pack 1」か「IE 5.01Service Pack 1」としてリリースされている。また、vCardコンポーネントはOutlookとOEで共有されているため、Outlookユーザーもこれらのパッチを当てておく必要がある。なお、日本語版パッチは現在準備中で、最善策として信頼できない添付ファイルを開かないよう呼びかけている。
(2001/2/26)
[Reported by hiro@nakajima-gumi.net]