『Outlook 2003』に脆弱性

Microsoft (NASDAQ:MSFT) の『Outlook 2003』に脆弱性が見つかった。メールを用いた攻撃により、セキュリティ設定で禁止しているはずの動作が可能になるという。

Secunia が18日に公開したセキュリティ勧告によると、同脆弱性を悪用すれば、攻撃者は Outlook 2003 のセキュリティ設定を回避し、有害なコードを読み込ませようとすることができるという。

Outlook 2003 はユーザーを保護するため、制限付きセキュリティゾーンに属するメールを開く際、アクティブスクリプトの実行や有害ファイルのダウンロードなどを禁止できるようになっている。

しかし Secunia によれば、リッチテキスト形式 (RTF) のメッセージに Windows Media ファイルを参照する OLE オブジェクトを埋め込むことで、セキュリティ設定を回避できるという。

Secunia は同勧告で、「同脆弱性を悪用すると、任意のファイルをダウンロードさせるプロセスを開始できる。Internet Explorer が立ち上がり、ユーザーにファイルの保存先を尋ねる形になる」と述べた。同勧告では、この脆弱性の危険度を5段階中の3番目としている。

さらに Secunia は、同脆弱性が Outlook 2003 の別の脆弱性、すなわち、HTML ファイルを埋め込んだメールで返信すると、その HTML ファイルをユーザーの「Temp」ディレクトリに、元のファイル名のまま保存してしまうという問題と組み合わせて、悪意のあるファイルをなんの警告もなしに実行できるとも警告している。

今回の脆弱性を持つのは、Outlook 2003 のほか、『Office 2003 Student and Teacher Edition』『同 Standard Edition』『同 Small Business Edition』『同 Professional Edition』となっている。

Secunia は、Microsoft が修正プログラムを用意するまでの回避策として、HTML および RTF 形式のメッセージを排除するよう勧めている。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール