「Windows Mail」にセキュリティ脆弱性が存在する可能性があり、これが悪用されると、攻撃者が「Windows Vista」を実行しているPC上で任意のアプリケーションを実行できてしまう恐れがある。
購読者の多いセキュリティメーリングリストFull Disclosureで米国時間3月23日に公開された説明によると、攻撃者が電子メールに挿入した悪質なリンクを、メール受信者がクリックすると、警告なしにプログラムが実行される可能性があるという。Windows Mailは、Microsoftの無料電子メールクライアント「Outlook Express」の後継ソフトとしてVistaにバンドルされている。
Microsoftの担当者は電子メールによる声明で、この問題について調査中であると説明した。同氏は「知っている送信者からのものであれ知らない送信者からのものであれ、一方的に送られてきた電子メールのリンクをクリックするときは、ユーザーの側で常に細心の注意を払うことが望ましい」とした。
セキュリティ研究者でソフトウェアメーカーMcAfeeのコミュニケーションマネージャーでもあるDave Marcus氏によると、悪質なリンクがWindows Mailにどのような動きをさせるかによって、Vistaユーザーへの脅威がかなり大きくなる可能性があるという。同氏は「理論上、攻撃者はいろいろなことができる。あらゆるコマンドを、攻撃者に実行される危険性がある」と述べた。
ただし、Marcus氏によると、Vistaがあまり普及していない分、危険性は小さくなるという。同氏は「稼動しているVistaの数が少ないという単純な理由から、攻撃者が多くの悪用法を探し出すとは思えない。Microsoftはこの問題を重く受け止め、次回のパッチで修正すると思う」と述べた。
Vistaがコンシューマ向けに発売されたのは2007年1月末である。その後Microsoftは、ビルトインのアンチスパイウェアツールである「Windows Defender」のスキャンエンジンにおける「緊急」レベルの脆弱性を修正するために、Vistaのセキュリティアップデート1件をリリースしている。
Microsoftによると、今回報告されたWindows Mailの脆弱性を悪用した攻撃は、現在のところ見られないという。前出の担当者は、調査が終了し次第、セキュリティアップデートのリリースやそれ以外の方法によるガイダンスの提供をすることになるだろうと説明した。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
