Windows Media PlayerのXMLタグに脆弱性が発覚――コンピュータが乗っ取られるおそれも
同団体で不正侵入の研究を担当しているペトコ・ペトコフ氏は自身のブログに、「HTMLView value」XMLタグの脆弱性を標的とした、複数の実証サンプル・コードを掲載した。
このXMLタグは、Windows Media Player上でユーザーが選択したWebページを表示させるためのもので、「.asx」などのWindows Media Playerファイル・フォーマットをサポートするのに使用されている。
ペトコフ氏によると、攻撃者がこのXMLタグの脆弱性を悪用すれば、任意のWebページを、攻撃対象者のWindows Media Player上で表示させることが可能になるという。
ペトコフ氏は、すべてのパッチを適用したWindows XP Service Pack(SP)2とInternet Explorer(IE)6/7でも、Windows Media Playerに悪質なWebページを表示させることに成功している。
Windows Media Player 10/11は、悪質と疑われるファイルにアクセスしようとすると、ユーザーにアクセスを許可するかどうかを確認するダイアログ・ボックスが表示される。しかし、Windows Media Player 9以前のバージョンは、こうした確認ダイアログ・ボックスが表示されない。
Symantecは9月18日深夜、同社の早期警告サービス「DeepSight」で、ペトコフ氏らが発見した脆弱性に注意するよう、ユーザーへの呼びかけを開始した。
ちなみに9月19日以降、ペトコフ氏が公開した実証コードや、該当するブログは閲覧不可能になっている。しかし、「Google」のキャッシュを利用すれば、問題の実証コードや解説はだれでも閲覧できる。
米国Microsoftの広報担当者は9月19日、ペトコフ氏の指摘を認識しているとしながらも、危険性は高くないという見解を明らかにした。
「指摘された脆弱性を悪用しようとする攻撃は、現時点では確認されていない。顧客にも被害は出ていない。Microsoftがこれらを脆弱性と認めた場合は、対策を検討するつもりだ」(Microsoft広報担当)
なお、Microsoftは次回の月例セキュリティ・アップデートを、10月9日に予定しているという。
(グレッグ・カイザー/Computerworld オンライン米国版)
米国Microsoft
http://www.microsoft.com/
提供:Computerworld.jp
