Microsoftは米国時間2月7日、Windowsに関連する2件のセキュリティ脆弱性について警告を発した。また同社では、3件目の脆弱性が存在する可能性についても、現在調査中だという。
1件目のセキュリティ脆弱性は、「Windows Millennium Edition(Windows ME)」と「Windows 2000」上で稼働する古いバージョンの「Internet Explorer(IE)」において、Windows Meta File(WMF)画像が適切に処理されていなかったというもの。WMF画像フォーマットの扱いに関するWindows脆弱性は、先ごろ問題となったばかりだ。
この問題による影響を受けるのは、Windows 2000上で稼働するIE 5.01 Service Pack(SP)4および、Windows ME上で稼働するIE 5.5 SP2のみであると、Microsoftは勧告のなかで述べている。同社によれば、攻撃者は、ウェブサイトに用意した悪質な画像をユーザーに閲覧させるだけで、簡単に同脆弱性を悪用できてしまうという。
「攻撃者は、この脆弱性を悪用することで、ユーザーのシステムを完全にコントロールできるようになる」と同社は勧告のなかで述べている。
今回発表されたWMF脆弱性は、先ごろ話題となったWindowsのWMF脆弱性と同じものに見えるが、その本質は異なると、Microsoftは述べる。同社は1月に、スパイウェアによる攻撃を誘引する恐れがあるとして、WMF脆弱性の修正パッチをWindowsユーザーに向けて公開していた。
Microsoftでは、今回公表されたWMF脆弱性を回避するために、ブラウザをIE6 SP1にアップデートするようにユーザーに呼びかけている。また、同社では、セキュリティパッチの公開も検討しているという。
Microsoftはまた、2つ目の脆弱性として、「Windows XP」と「Windows Server 2003」に、アクセス権限の割り当てに関する問題があることも明らかにしている。問題の影響を受けるのは、Service Packが適用されていないオペレーティングシステムのみだという。
同社によれば、この脆弱性は、低いアクセス権限しか持たないユーザーが、高い権限の所有者しか起動できないはずのプログラムやコマンドを実行できてしまうというものだという。同社では、Windows XPにはSP2を、Windows Server 2003にはSP1をインストールするか、問題となっている4つのサービス(UPnP、NetBT、SCardSvr、SSDP)へのアクセス権を手動で変更するように推奨している。
また、同社の広報担当は同日、「HTML Help Software Development Kit」のバージョン1.4に含まれる「HTML Help Workshop」にも脆弱性が存在する可能性があり、詳細は現在調査中であると述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
