« サムスンから音声認識する携帯電話登場 | Main | バリューコマースのMatchsmart »

›4 21, 2005

Windows 2000にファイル選択のみで任意のスクリプトが実行される脆弱性

[ PCニュース ]

 過激な脆弱性ですね。恐ろしすぎる。

 イスラエルのセキュリティー企業GreyMagic Software社は19日(現地時間)、Windows 2000のエクスプローラ上で、細工が施された任意形式のファイルを選択するだけで任意のスクリプトが実行される脆弱性が存在することを明らかにした。マイクロソフトから本脆弱性を修正するパッチはリリースされていないが、フォルダオプションの変更で回避可能。
 
 具体的には、ファイルの種類や更新日時、ファイルサイズやファイルの作成者といった情報をエクスプローラ左側に表示できる“プレビューペイン”有効時に、攻撃者によって作成者名文字列に細工が施されたファイルを選択すると、左ペインに作成者名を表示した際にスクリプトが実行され、ファイルの作成や削除、リネームなど様々な攻撃を受けてしまう。
 
 対応策としては、エクスプローラで[ツール]−[フォルダ オプション]メニューを選び、オプション画面の[全般]タブで“フォルダで Web コンテンツを使う”から“従来の Windows フォルダを使う”へ変更すれば、本脆弱性を回避できるという。ただし、本脆弱性はHTML文書のプレビュー表示に用いる“webvw.dll”に起因しており、エクスプローラ以外でも同DLLを使用するソフトがあれば、本脆弱性の影響を受ける可能性がある。

窓の杜 - 【NEWS】Windows 2000にファイル選択のみで任意のスクリプトが実行される脆弱性が存在
Windows 2000のエクスプローラに任意のコードが実行される脆弱性


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?