マイクロソフトは2日、Windowsのアニメーションカーソルファイル(.ani)に関する脆弱性を修正するプログラムを緊急リリースすると発表した。11日に予定されている月例パッチに先行し、4日未明に配布する。同脆弱性が影響するのはWindows 200/XP/Vista/Server 2003。マイクロソフトでは、この脆弱性の深刻度を、4段階中最高の「緊急」としている。
同脆弱性は3月末からベンダー各社によって危険性が指摘されていた。Internet Explorer(IE)か、IEのエンジンを使ってHTMLメールを表示するOutlook Expressなどのメールソフトでaniファイルを表示するだけで、自動的に悪意あるコードが実行されてしまう。ネット上には多数の攻撃サイトが発生しており、米国Websenseは公式ブログで先月30日には60、31日には100にも上るサイトで同脆弱性を突く攻撃コードを確認したと発表。さらに、同脆弱性を悪用する攻撃コードを作るためのオンラインツールキットまでネット上に出現したと報告している。
すでに攻撃コードを迂回するために、脆弱性の発生条件などを実証したコード(PoC)が公開されている。
(2007/04/03 ネットセキュリティニュース)
■マイクロソフト セキュリティ情報の事前通知
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
■Latest on security update for Microsoft Security Advisory 935423 [英文](Welcome to the Microsoft Security Response Center Blog!)
http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx
■ANI Zero-Day Event Timeline[英文](Websense)
http://www.websense.com/securitylabs/blog/blog.php?BlogID=117
【関連記事:ネットセキュリティニュース】
・【ゼロデイ攻撃】Windowsアニメーションカーソルの脆弱性を狙う攻撃が拡大(2007/04/02)
・【ゼロデイ攻撃】Windowsのアニメーションカーソル処理にコード実行の脆弱性(2007/03/30 )