Windows Media Player に重大な脆弱性

フィンランドのセキュリティ会社 Oy Online Solutions は7日、Microsoft (NASDAQ:MSFT) の『Windows Media Player (WMP)』の一部バージョンに、脆弱性があることを明らかにした。

Microsoft も同日、セキュリティ情報『MS03-017』として同脆弱性の情報を公開した。同社は今回の脆弱性の深刻度を、同社基準で最も厳しい「緊急」と評価している。

Microsoft によれば、脆弱性が存在するのは、WMP のバージョン7.1および『Windows XP』用のバージョン8で、現行のバージョン9には存在しないという。同脆弱性は、WMP の外観を変更する際に用いるスキンデータをダウンロードする際の問題で、攻撃者がこれを利用すれば、ユーザーのシステムにスキンデータを装って任意のファイルを送り込むことができ、悪意あるプログラムコード実行の被害にあう可能性があると、注意を呼びかけている。

スキンデータは、単数もしくは複数のファイルからなり、XML 形式で情報をまとめている。スキンデータを作成するのは比較的容易で、攻撃を仕掛ける際の敷居もさほど高いものではないといえる。

攻撃を実現するには、悪意のある Web サイトを構築し、相手を同サイトに誘導しなければならないため、利用者の注意次第で攻撃を受ける可能性は緩和できるが、セキュリティ情報『MS03-017』で提示している修正プログラムを適用するに越したことはない。

なお深刻度が緊急ということで、Microsoft は日本国内でも暫定情報と修正プログラムを公開している。