マイクロソフト、Video ActiveXコントロールの脆弱性について警告

文:Elinor Mills(CNET News) 翻訳校正:緒方亮、高橋朋子

2009-07-07 11:10

 Microsoftは米国時間7月6日、「Microsoft Video ActiveX Control」の脆弱性について警告を行った。悪意あるウェブサイトの閲覧により、攻撃者にPCを制御されるおそれがあるというものだ。

 Microsoftは「Security Response Center」ブログの中で、この脆弱性を利用した限定的な攻撃が行われており、影響を受けるのは「Windows XP」「Windows Server 2003」だとしている。

 Microsoftがこの数カ月に公表した「Microsoft DirectShow」関連のセキュリティホールは、これで2件目となる。しかし、5月に公表した「DirectX」のQuickTimeファイル処理に関する脆弱性について、同社はまだセキュリティ更新をリリースしていない。

 「Internet Explorer(IE)」のActiveX Controlは既定では使用されないことから、Microsoftはセキュリティアドバイザリで説明している回避策の実行を推奨している。回避策はMicrosoftサポートサイト技術情報972890にある「Fix it for me」の指示に従うことで自動的に実行できる。

 「Windows Vista」と「Windows Server 2008」は今回の脆弱性の影響を受けないが、Microsoftはこれら製品に関しても同じ回避策の実行を推奨している。

 Microsoftは現在セキュリティ更新を準備中で、一般提供に適したクオリティになり次第リリースする予定だという。

 Microsoft Video Controlオブジェクトは、動画のキャプチャ、保存、再生のためにMicrosoft DirectShowフィルタを接続するActiveXコントロールである。「Windows Media Center」のメインコンポーネントとして、テレビ動画の保存と再生用フィルタグラフの構築に用いられる。

 同コントロールがIEで利用された場合、任意のコードが実行されるなど、システム状態を汚染する可能性がある。管理者権限でログインしている場合、攻撃者にシステムを完全に支配されるおそれがある。

 ウイルス対策ベンダーのSymantecは、この脆弱性が中国などアジアの複数地域で利用されているとして、このエクスプロイトをホスティングしているサイトが多数存在することを示す報告を引用している。

 Symantecによると、IEのバージョン6と7は危険だが、IE 8は影響を受けないという。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]