Windowsに危険な脆弱性が5件、Webアクセスやデータ受信で被害の恐れ
Windowsに危険な脆弱性が5件、Webアクセスやデータ受信で被害の恐れ
TCP/IP通信機能や無線LAN機能にも脆弱性、「早急にパッチ適用を」
マイクロソフトは2009年9月9日、Windowsに関するセキュリティ情報を5件公開した。いずれも、最大深刻度(危険度)は最悪の「緊急」、細工が施されたWebページを開いたり、データを受信したりするだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)の適用。
今回公開されたセキュリティ情報は以下の5件。
(1)[MS09-045]JScriptスクリプトエンジンの脆弱性により、リモートでコードが実行される (971961)
(2)[MS09-046]DHTML編集コンポーネントのActive Xコントロールの脆弱性により、リモートでコードが実行される (956844)
(3)[MS09-047]Windows Media Formatの脆弱性により、リモートでコードが実行される (973812)
(4)[MS09-048]Windows TCP/IPの脆弱性により、リモートでコードが実行される (967723)
(5)[MS09-049]ワイヤレスLAN自動構成サービスの脆弱性により、リモートでコードが実行される (970710)
(1)は、Webページなどのスクリプトを処理するためのプログラム「JScriptスクリプトエンジン」に関するセキュリティ情報。同エンジンはWindowsに含まれる。影響を受けるのは、Windows 2000/XP/Server 2003/Vista/Server 2008。Windows 7およびWindows Server 2008 R2は影響を受けない。
JScriptスクリプトエンジンには、特定のスクリプトの処理に問題があることが明らかとなった。細工が施されたスクリプトを含むファイルやWebページを開くと、悪質なプログラムを勝手に実行される恐れがある。
(2)は、Windowsに含まれる「DHTML編集コンポーネントのActiveXコントロール」に関するセキュリティ情報。これは、WebページのHTMLを編集するためのActiveXコントロール。
影響を受けるのは、Windows 2000/XP/Server 2003。これらに含まれる該当のActiveXコントロールには、データの処理に関する脆弱(ぜいじゃく)性が見つかった。細工が施されたデータを渡されると、悪質なプログラムを実行する危険性がある。例えば、このActiveXコントロールを呼び出すようなWebページにアクセスするだけで、悪質なデータを渡されて被害に遭う恐れがある。
なお、Windows Vista/Server 2008/7は影響を受けない。また、今回の脆弱性はActiveXコントロールに関するものだが、「2009年7月に公開されたATL(Active Template Library)の脆弱性とは無関係」(マイクロソフト カスタマーサービス&サポート セキュリティレスポンスチームセキュリティレスポンスマネージャの小野寺匠氏)。
「ATLの脆弱性」とは、開発ツール「Visual Studio」のライブラリーに関する脆弱性。Visual Studioで作成したActiveXコントロールには、この脆弱性が含まれる可能性がある。実際、マイクロソフト製のActiveXコントロールのいくつかには、この脆弱性が含まれていることが確認されている。
