Microsoft、『Indeo』コーデックの脆弱性を勧告

Microsoft が9日に行なった月例セキュリティ更新の中に、旧式の『Indeo』ビデオコーデックの脆弱性に関する勧告が1件含まれていた。脆弱性は深刻なものだが、同コーデックの問題に限っては、Microsoft の対応方法が通常とは異なっている。

Microsoft は、開発から17年が経つ Indeo コーデックの脆弱性を修正するかわりに、影響を受けるユーザーに対し、同ソフトウェアをアップデートするか、回避策を適用して対処することを推奨している。

Microsoft はセキュリティ勧告の中で次のように述べている。「特定の脆弱性を修正するのではなく、Microsoft は多層防御の変更を行ない、既知の脆弱性および今後の類似した脆弱性について攻撃の表面を制限します」

今回指摘された脆弱性は、潜在的な危険をはらんでいる。Indeo コーデックを使用する悪質なコンテンツを Web サイトに仕込み、ユーザーにサイトを閲覧させてシステムを完全に乗っ取るという悪用例が考えられる。

また、Indeo は『Windows 3.1』の時代にまでさかのぼるコーデック技術だが、一部のアプリケーションは今なお同技術の使用を必要とする。このことは、『Windows Vista』以前の『Windows』OS を搭載する比較的新しいシステムの多くに、同技術が用いられている可能性を意味する。

Microsoft は同コーデックに既知の脆弱性が何件あるかを公表していないが、VeriSign 傘下の iDefense Labs は今年6月という早い時期に、少なくとも1件の脆弱性の存在を Microsoft に警告したと述べている。