 |
 |
|
| 最新ニュース |
|
|
【 2009/12/25 】 【 2009/12/24 】 |
|
|
|
||||||||
|
||||||||
|
|
|
|
|
|
| マイクロソフト、WindowsとIEに関する修正プログラム |
|
|
|
|
マイクロソフトは、Windowsの修正プログラムを公開した。対象はWindowsを利用するすべてのユーザーで、深刻度は「高」に設定されている。修正プログラムはWindows Updateから無償でダウンロードできる。 この修正プログラムはWindowsおよびInternet Explorer(IE)のほとんどに同梱されているMicrosoft VMに関するもので、3つの脆弱性が発見されている。悪意のあるユーザーがWebページまたはHTML形式のメールによってこの脆弱性を利用した場合、ユーザーのシステムを完全に支配できる可能性もあるという。 3つのうち2つの脆弱性はともにJava データベース接続(JDBC)で発見されたもの。JDBCがデータベースへ接続する際に行なわれる認証が、ある特定の不正な形式のリクエストに対しては行なわれないため、悪意のある第3者がユーザーのシステム上ですべてのDLLを読み込み、実行できる可能性があるという。また、JDBCのある機能は、入力されたハンドルを正しく検証しないために、実際のハンドルの代わりに不正なデータを入力することが可能であるという。マイクロソフトでは後者の脆弱性について、IEが異常終了することを確認しているほか、悪意を持ったコードを実行する可能性のあるデータが挿入されるおそれもあるとしている。 3つ目の脆弱性はXMLをサポートするJavaアプリケーションに関するもの。メソッドが適するアプレットが適切に判断されないため、すべてのアプレットが利用可能になってしまう可能性があるという。マイクロソフトは最悪の場合、ユーザーのシステム上で事実上すべての操作を実行できる恐れがあるという。 修正プログラムはWindows Updateを利用してダウンロードできる。また、これらの脆弱性が悪用されるのはユーザーが悪意のあるWebサイトを訪れた場合であり、脆弱性のみを利用して悪意のあるWebサイトへ強制的に訪問させられることはないという。 □Microsoft VM JDBCクラスの問題について
(甲斐祐樹) |
|
|
| Broadband Watch ホームページ |
|
|
|
|
|
|
|
|
| Copyright (c) 2002 Impress Corporation All rights reserved. |