リビング+:ニュース |
2003/10/16 16:41:00 更新 |
マイクロソフト、7件のセキュリティ警告を公開
マイクロソフトは、WindowsやExchange Serverの複数のセキュリティホールについて公開、修正ファイルの提供を開始した。うち5件はWindows OSに関するもので、そのうち4つは深刻度レベルが最も高い「緊急」とされている。
特に影響のありそうなもののひとつは、Authenticodeで特定のメモリの不足が発生した際に、ActiveXコントロールが無警告で実行されてしまうというセキュリティホール。通常はダウンロード・インストールの前にダイアログが表示されるが、このセキュリティホールのために、確認なしにActiveXコントロールが動作してしまう。ウェブサイトを訪れただけでコードが実行されるわけで、非常に危険といえる。最新の累積パッチを導入している環境やIE6.0以降ではこの危険が軽減されているが、安全のため修正は導入しておこう。
このほか、Windowsのメッセンジャサービス(WindowsMessengerなどのインスタントメッセンジャ機能ではなく、net sendコマンドを使用するまったく別のシステム)にあるバッファオーバーフロー脆弱性では、外部から任意のコードを実行されてしまう。NetBIOSを使用するサービスなので、ブロードバンドルータなどを使用していれば、通常はインターネット側から起動されることはないが、これを突くワームが登場してLAN内で活動されるとやっかいだ。
そのほか、リストボックスとコンボボックスコントロールのバッファオーバーフロー脆弱性は、権限昇格をともなった不正コード実行のおそれがあるものだ(権限昇格が起きるのはWindows2000環境のみで、XPなどはコード実行のみ)。
Exchange Server関連のセキュリティホールは2件。Exchange Server 5.5およびExchange 2000 Serverのインターネットメールサービスに外部からコードが起動されるおそれがあるというものと、Exchange Server 5.5 Outlook Web Accessにあるクロスサイトスクリプティング脆弱性の2点。メールサービスの脆弱性は、外部からサーバを乗っ取られるおそれがあるため、対象製品を使用している場合は修正プログラムを適用していただきたい。
関連リンク
マイクロソフト
[記事提供:RBBTODAY]