Microsoft、低位 API の『DirectX』に最大深刻度の脆弱性

Microsoft (NASDAQ:MSFT) は23日、『DirectX』に見つかったバッファオーバフローの脆弱性について、セキュリティ情報「MS03-030」を公開した。

同脆弱性の存在する DirectX は、Windows 用のプログラムで、音声や動画をはじめ、各種入出力をよりハードウェアに近いレベルであつかう際に利用する API 群で、ゲームソフトや各種メディアコンテンツの作成および再生ソフトが用いている。今回みつかった脆弱性は、 バッファオーバーランの脆弱性が2件で、DirectX の一部を成し、音声および動画をあつかう DirectShow に存在する。Microsoft は、同脆弱性の深刻度を最大の「緊急」とした。セキュリティ勧告によると、同脆弱性により、攻撃者が対象システムを使用中のユーザー権限で、任意のプログラムコード実行を許してしまうという。

対象となる構成は、『Windows 98』の DirectX 5.2、『Windows 98 SE』の DirectX 6.1、『Windows Me』の DirectX 7.0a、『Windows 2000』の DirectX 7.0、『Windows XP』の DirectX 8.1、『Windows Server 2003』の DirectX 8.1 といった版や、Windows Server 2003 を始めとする各種 OS と DirectX 9.0a の組み合わせなど多岐にわたる。

最も新しい Windows Server 2003 で、「緊急」のセキュリティ情報が出たのは、今回で2度目。

攻撃者は、同脆弱性を悪用するために、細工した MIDI ファイルを作成し、Web サイトや共有ネットワーク上に置いたり、HTML メールで送信する可能性があると Microsoft は警告している。