Windowsの基本処理で脆弱性が発覚――セキュリティ対策ベンダーは警戒レベルを引き上げ
Microsoft Security Response Center(MSRC)が3月29日に公開した警告によると、この脆弱性は、マウス・ポインタの位置で矢印などのアニメーションを表示させるコンポーネント「Animated Cursor」(拡張子.ani)に存在する。
MSRCの警告によれば、同脆弱性が存在するWindowsを利用しているユーザーが、攻撃コードが仕込まれたWebサイトを閲覧したり、悪質なマクロが添付された電子メールを開いたりした際に、攻撃コードが実行されるおそれがあるという。
同脆弱性が存在するエディションは、Windows Vistaを含むWindows Server 2003/XP/2000。ただし、Vistaの場合は、標準搭載されているWebブラウザ「Internet Explorer(IE)7」の「保護モード機能」がデフォルトでは「有効」になっているため、IE 7の設定を変更していなければ、Webサイトを悪用した攻撃はブロックされる。とはいえ、保護モード機能は手動で変更できるので注意が必要だ。
同脆弱性を最初に指摘したのは、セキュリティ対策ベンダーのMcAfeeに籍を置くウイルス研究担当マネジャー、クレイグ・シュムーガー氏。同氏は自身のブログにおいて、Windows XP Service Pack(SP)2上で稼働するIE 6およびIE 7で脆弱性が確認されたと報告した。ただし、同OS上で稼働する「Firefox 2.0」では同脆弱性は確認されなかったという。
シュムーガー氏は、悪質な「.ani」ファイルをVistaのデスクトップにドラッグするだけでOSのクラッシュと再起動を繰り返す“無限ループ”が引き起こされることを実証し、この映像を同社のWebサイトと動画配信Webサイトの「YouTube」で公開した。
セキュリティ対策ベンダー各社は、同脆弱性に関する情報を直ちにユーザーに公開して警告を発している。Symantecでは、インターネット上のリスク状況を総合的に示す指標「ThreatCon」を、1から2に引き上げた(5段階)。
一方、MRSCでは、同脆弱性に対する攻撃は“非常に限定的”であり、現時点では“蔓延していない”としながらも、「この脆弱性に関する新たな情報を入手次第、継続して警告を発する」とコメントしている。
Microsoftでは、ユーザーに自動配信される「セキュリティ・アップデート」でこの修正パッチを配布するとしているが、その配信時期については明言を避けている。同社の広報担当者は3月29日、「同脆弱性の調査が終了した時点でパッチを配布する」とコメントした。
Microsoftが定期的に行っている次のアップデート・サイクルは4月10日である。少なくともそのときに修正パッチが配布されるはずだ。同社では、「(4月10日までは)信用できないWebサイトを閲覧したり、一方的に送られてきた電子メールを開いたりしないでほしい」という基本的なアドバイスをするにとどまっている。
(グレッグ・カイザー/Computerworld オンライン米国版)
Microsoft
http://www.microsoft.com/
提供:Computerworld.jp
