 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
マイクロソフト、HSC機能の脆弱性「MS04-015」に対するセキュリティ修正プログラムを公開 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
マイクロソフト株式会社は5月12日、「ヘルプとサポートセンター(HSC)」がURLを処理する際の機能に関するWindowsの脆弱性「MS04-015」に対するセキュリティ修正プログラムを公開した。深刻度は上から2番目の「重要」で、同社のTechNetやWindows Updateからの入手が可能だ。対象OSはWindows XP/Server 2003と、それぞれの64Bit Edition。 「ヘルプとサポートセンター(HSC)」では、「hcp://~」のURLと独自の「HCPプロトコル」を用いてヘルプを提供している。しかし、この内容が検証されないため、悪意のあるユーザーが、WebページやHTMLメールへのリンクを含むhcp://~のURLを表示させ、細工を施したWebサイトを通じてプログラムのインストール、データの表示、変更、作成、または完全な特権を持つ新規のアカウントの作成などをリモートで実行可能となる。ただユーザーを不正なWebサイトに誘導することが必須となるため、マイクロソフトでは深刻度を「緊急」ではなく「重要」にしている。 パッチを適用する際にはHSCを有効にする必要があるほか、日本語版ではパッチを適用した後アンインストールした際に「プログラムの追加と削除」が操作できなくなる可能性があるという。 MS04-015の脆弱性は、パッチを適用できない環境でもレジストリを操作してHCPプロトコルを無効にすることで影響を回避できる。またOutlook Express 6/2002/2003と、セキュリティ更新プログラムが適用済みのOutlook 98/2000では、HTML形式の電子メールが「制限付きサイトゾーン」で開かれるため、この影響を受けない。 ■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/ 「ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される 「MS04-015」 http://www.microsoft.com/japan/technet/security/bulletin/ms04-015.asp
( 岩崎 宰守 )
|
|
|
|
|
|
|