MHTML に未対応の脆弱性、Microsoft が勧告を公開

Microsoft は28日、セキュリティ勧告を公開し、新たに見つかった脆弱性への注意を促した。『Windows』の全バージョンに影響するこの脆弱性では、Eメール メッセージで異なる種類のメディアをまとめて転送する一般的な手法が悪用されるおそれがある。

今回、MHTML プロトコル ハンドラに見つかったセキュリティ ホールは、『Windows XP Service Pack 3』を含め、サポート対象となっているすべてのバージョンの Windows に存在する。攻撃者がユーザーを誘い込んで悪意あるサイトを訪問させ、細工されたリンクをクリックさせると、攻撃プログラムがハンドラに悪質なスクリプトを送信するおそれがある。

攻撃が成功してもシステム全体を乗っ取られるわけではなく、「意図しない情報の開示」が可能になるにすぎないが、インターネット上ではすでに同脆弱性の概念実証コードが公開され、議論が交わされていることから、Microsoft では緊急性が高いと判断し、ただちにセキュリティ担当者に警告することとなった。

Microsoft はセキュリティ勧告でクライアント側の回避策を提示しており、またパッチの準備も進めているという。

Microsoft の Trustworthy Computing グループでセキュリティ対応広報マネージャを務める Angela Gunn 氏は、『Microsoft Security Response Center』(MSRC) Blog への投稿で、次のように述べている。「当社が顧客に適用を推奨している回避策は、MHTML プロトコルをロックダウンするというもので、それによってクライアント システムに存在する問題に有効に対処できる」

Microsoft はまた、同社のサポート技術情報ページで、クライアント側における回避策を自動で実装できる『Microsoft Fix it』アプリケーションも提供している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール