MicrosoftはWindows Media Playerの最新バージョンにコードを実行される可能性のある深刻な脆弱性が存在するという報告が公になった問題に対して水を差した。
概念実証コードと共に発表された、任意のコードを実行できるリモートから悪用可能なバグがあると主張する情報に対し、Microsoftの広報担当者は「これは製品の脆弱性ではない」と断言した。
Microsoftの発言全文は以下の通りだ。
Microsoftは2008年12月25日に誤って報告されたMicrosoft Windows Media Playerに関する脆弱性の問題について承知している。Microsoftはこの申し立てについて調査を行い、製品の脆弱性ではないことがわかった。Microsoftは報告されたクラッシュは悪用することはできず、公開されたレポートで誤って述べられているような形で、攻撃者が任意のコードを実行することはできないことを確認した。
この発言は、研究者であるLaurent Gaffie氏が発表した、リモートユーザーが対象システム上でinteger overflowを引き起こし、任意のコードを実行することができるようなWAV、SND、MIDIファイルを作成することができるという勧告の後で発表されたものだ。
Gaffie氏はこのバグはWMP 11を含むすべてのバージョンのWindows Media Playerに影響があると主張している。
[UPDATE] MicrosoftのSWIチームを率いるJonathan Ness氏は、このバグが悪用できない理由についての詳細情報を提供し、これは社内ですでに発見されていた問題であり、将来のサービスパックで修正される予定だと述べた。
われわれはこの問題について、内部の検証作業ですでに発見していた。その時点で、この問題は顧客のセキュリティリスクではなく、信頼性の問題だと適切に判断された。われわれはこのようなの信頼性の問題は、将来のサービスパックやそのプラットフォームの将来のバージョンで可能な限り修正したいと考えている。例えばこの特定のバグについては、すでにWindows Server 2003 Service Pack 2では修正されている。
Christopher Budd氏はMSRCブログ上で、Gaffie氏がこの問題を直接Microsoftに報告するのではなく、勧告を公開してしまったことについて嘆いている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
「セキュリティ」 の新着情報
-
月額498円でノートン先生が保護--イー・モバイル、月額版ノートン 360提供
シマンテックは、イー・モバイルの月額制オプションサービス「EMセキュリティ」のユーザーを対象に、セキュリティソフト「ノ... - 日本PGP、ホワイトリスト活用するデータ保護とアプリ制御の新製品を発表
- TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
- MS、11月の月例パッチで「Windows」「Office」の脆弱性を修正すると事前通知
- 三井住友銀行、投資銀行部門のEUC基盤でセキュリティ対策強化
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
jailbreakされたiPhoneがハックされ、5ドルを要求される
jailbreakされたiPhoneにインストールされてるSSHデーモンに、デフォルトのrootパスワードが設定されている問題を利用して、自動的に攻撃が仕掛けられる事件が起こった。 -
フィッシング実験ですべてのスパムフィルタを迂回することに成功
-
Shockwave Playerに深刻なセキュリティホール--アドビが修正パッチ公開
-
US-CERT、BlackBerryをねらったスパイウェアを警告
-
ボットネットに接続させるFacebookのパスワードリセットスパムが出回る
- Zero Day 一覧へ »
企画特集
-
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
求めているのはSIerのエンジニア!!
連載インタビュー第1話、グリーCTO藤本氏が語る -
進むストレージ環境の見直し
仮想環境に最適なiSCSIストレージLeftHandのメリット -
最大32個のセンサーが電力を徹底管理!
『省エネ性能』追求HPx86サーバー徹底レビュー -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中 -
情報漏えいを食い止める!
証跡としての信用力を高めるメールアーカイブとは? -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション
Intel Video Series
-
17. Intel Threading Building Blocks
オライリーブックから出版されている「Intel Threading Building Blocks... -
18. Intel Integrated Performance Primitives
単に最適化コンパイラを使うよりもパフォーマンスを良好にするルーチン...
新着企業動向
-
「韓国ポイント市場の展望と課題」出版
データリソース -
TIS・日本HP・ネクスウェイ共催 “現場力”最大化を見据えた“攻めのIT投資”事例セミナー
ネクスウェイ -
【Infinito PLUS誕生記念】今なら月額利用料金が永久半額!さらに初期費用全額還元!
GMOホスティング&セキュリティ -
メールセキュリティSaaS『Mail Luck!セキュアタイプゲートウェイ』
NTTPCコミュニケーションズ(ネットワーク事業部) - 企業動向一覧へ»
