『Windows XP』と『Winamp』セキュリティ欠陥

インターネットセキュリティ関連コンサルタント会社 Foundstone Research Labs は18日、『Windows XP』OS ユーザーおよび Nullsoft 製メディアプレーヤー『Winamp』のユーザーに対して「重大な」セキュリティ警告を発表。広く普及しているデジタル音楽フォーマット MP3 および WMA (Windows Media Audio) を使って、攻撃を受ける可能性があると注意を促した。両デジタル音楽フォーマットの処理方法に問題があり、バッファオーバーフローを引き起こす脆弱性が存在するいう。

Microsoft (NASDAQ:MSFT) は、これを72番目のセキュリティ勧告の中で確認。Windows XP ユーザーに対して、直ちに修正プログラムを適用するように呼びかけている。

Foundstone は、この脆弱性がきわめて攻撃しやすいもので最高レベルの警告に値するとして、次のように述べている。「MP3 ファイルが実行されなくても攻撃は簡単だ。それをダウンロードフォルダ、デスクトップ、あるいは NetBios 共有フォルダなど、ブラウズ対象フォルダに保存されているだけで攻撃される可能性がある。この脆弱性は、『Internet Explorer』(IE) を介して悪意の Web サイトをロードすることによって突かれることもある。Microsoft の WMA ファイルにも、同様の脆弱性がある」

Foundstone によると、ユーザーのシステムが攻撃された場合、そのパソコンが攻撃者に完全に乗っ取られ、情報を勝手に作成／修正／削除されたり、さらにはシステム全体の変更、ハードディスクのフォーマット変更、あるいは悪意のプログラム実行可能などが行なわれてしまいかねないという。

なお、Windows XP 以外の OS ──『Windows 2000』など ── はこの脆弱性を持たない。たとえ MP3 の属性が改悪されていたとしても、Windows XP 以外の OS であれば、大多数のプレーヤーを問題なく使えると、Foundstone は述べている。

今回の脆弱性発表は、Microsoft にとってタイミングが悪い時に出てきた。なぜなら、同社は Windows XP こそがデジタルエンターテインメントのハブとなる OS だと積極的に売り込もうとしているところだからだ。同社は今週、エンターテインメントソフトウェア『Plus! Digital Media Edition』とともに、人気ソフトウェア『MovieMaker』および『Windows Media Player』の最新版など、MP3 および WMA ファイルフォーマットをサポートする製品を発表したばかりだった。

Foundstone は、AOL Time Warner 傘下の Nullsoft 製 Winamp プレーヤーにもバグがあると警告した。「『Winamp 2.81』(2.x シリーズ最新版) には1つ、『Winamp 3.0』(3.x シリーズ最新版) には2つのバッファオーバーフローが存在する」と指摘。両メディアプレーヤーのユーザーに対し、修正プログラムを至急ダウンロードするように勧告している。