|
■URL
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-029
マイクロソフトは24日、「Windows Media Player」のセキュリティホールを警告した。バージョン6.4と7に、バッファーオーバーランにより攻撃者が選択したコードが実行されるなど、2つの問題が発見された。同社はこれらの問題を修正するパッチをリリースするとともに、直ちに最新版の7.1にアップデートするよう勧めている。
1つ目の問題は、ファイルを処理するのに使用される機能に存在するバッファのオーバーランによるもの。インターネット上のストリーミングメディアを再生したり、プレイリストを使用するためのファイルに未チェックのバッファが含まれ、悪意のあるユーザーが選択したコードをユーザーのマシン上で実行される可能性がある。例えば、攻撃者がファイルをユーザーに送信して、そのファイルをプレビューするか、実行させるように誘導することが可能となる。
2つ目の問題は、インターネットショートカットを処理する方法に関するもの。インターネットショートカットをある特定の一時フォルダに保存してしまうという問題から引き起こされるもので、HTMLコードがこのようなショートカットに保存され、コードがインターネットゾーンではなくローカルゾーンで実行されるというセキュリティ上の脆弱性が発生する。攻撃者がこの脆弱性を利用して、ファイルを読み取ることが可能となるという。
修正パッチでは、これらの問題を解消するとともに、プライバシーに関する脆弱性も解決する。その問題とは、悪意のあるWeb サイトがユーザーを特定するのに使用する恐れがあるもの。これらの修正パッチはWindows Media Player 7.1に含まれるほか、Windows Media Player for Windows XP (旧称Windows Media Player 8)にも含まれる予定だ。
(2001/5/28)
[Reported by hiro@nakajima-gumi.net]