『Windows Me』に重大な脆弱性

Microsoft (NASDAQ:MSFT) は、『Windows Me』の「Help and Support Center」に見つかったバッファオーバフロー脆弱性を重大視し、「緊急」とランク付けした修正プログラム (パッチ) を公開した。

Help and Support Center には様々なトピックに関してユーザーがサポートを受けることができる機能が集まっている。ユーザーおよびプログラムは、URL リンクの最初に「http://」ではなく、「hcp://」を入力することによって、Help and Support への URL リンクを実行できる。だが、hcp:// URL Handler に未チェックのバッファが含まれるため、Windows Me バージョンの Help and Support にセキュリティ上の脆弱性が存在すると、Microsoft は説明している。

Microsoft の警告によると、攻撃者がこの脆弱性を悪用して URL を作成して、ユーザーにそれをクリックさせ、有害なコードを実行させる可能性がある。そして、攻撃は Web あるいは Eメールを通じたものもあり得るという。

Web を通じた攻撃を回避するには、直ちに修正プログラム (「Windows Update」からダウンロード可能) をインストールする必要がある。さもないと、攻撃者にローカルマシン上の既存ファイルを読まれたり実行される可能性がある。

Eメールを通じた攻撃が起こりうるのは、ユーザーが『Outlook Express 6.0』または『Outlook 2002』をデフォルトのメールクライアントとしてを既定の構成で使用していない場合だ。Eメールに含まれる URL をユーザーがクリックしなくても自動的に攻撃が行なわれる可能性がある、と Microsoft は警告している。

Windows Me Help and Support Center が提供しているのは、製品に関する文書、ハードウェア互換性を確認するためのサポート、Windows Update へのリンク、Microsoft からのオンラインヘルプおよびそのほかのサポートだ。