Microsoftは米国時間1月4日、Windowsの新たな脆弱性を警告した。この脆弱性により、ユーザーが管理者権限でコンピュータにログオンした場合、攻撃者にコンピュータを制御される可能性があるという。
Microsoftはセキュリティアドバイザリの中で、攻撃者が目的を達成するには、特別に細工されたサムネイル画像を含む「Microsoft Word」または「PowerPoint」ファイルを添付した電子メールを送信し、ユーザーにファイルを開かせる必要があると述べた。このアドバイザリには、回避策の情報も含まれている。
攻撃者はまた、細工された画像ファイルをネットワーク共有に置き、ユーザーに「Windows Explorer」でその場所を参照させる可能性がある。
この脆弱性は「Windows Graphics Rendering Engine」に存在し、ログオンしているユーザーのセキュリティコンテキストで任意のコードが実行される可能性があるため、ユーザー権限が低く設定されているアカウントの場合は影響も少なくなると考えられる。
この脆弱性の影響を受けるソフトウェアとして、「Windows XP Service Pack 3」「Windows XP Professional x64 Edition Service Pack 2」「Windows Server 2003 Service Pack 2」「Windows Server 2003 x64 Edition Service Pack 2」「Windows Server 2003 with SP2 for Itanium-based Systems」「Windows Vista Service Pack 1」「Windows Vista Service Pack 2」「Windows Vista x64 Edition Service Pack 1」「Windows Vista Service Pack 2」「Windows Server 2008 for 32-bit Systems」「Windows Server 2008 for 32-bit Systems Service Pack 2」「Windows Server 2008 for x64-based Systems」「Windows Server 2008 for x64-based Systems Service Pack 2」「Windows Server 2008 for Itanium-based Systems」「Windows Server 2008 for Itanium-based Systems Service Pack 2」が挙がっている。
Microsoftは現時点で、この脆弱性を悪用しようとする攻撃や影響を受けた顧客を認識していないと述べた。同社は現在、脆弱性の修復に取り組んでいるが、セキュリティ更新プログラムの提供時期については明言しなかった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。