マイクロソフトは29日、DirectShowの未修整の脆弱性を悪用した攻撃が行われているとして、アドバイザリを公開した。
DirectShowは、ビデオやオーディオの処理を行うWindowsの標準機能のひとつで、Media Playerなどがこれを使用し、動画の再生などを行っている。今回明らかになった脆弱性は、このDirectShowでQuickTimeを再生する際に使用するQuickTimeパーサーフィルター(quartz.dll)の問題で、細工されたQuickTimeファイルを開くと任意のコードが実行されるおそれがある。
影響を受けるのは、Windows XP/2000、およびWindows Server 2003上のDirectX 7.0/8.1/9.0。当該コンポーネントが含まれていないVistaやWindows Server 2008には影響しない。同社では、すでに限定的な攻撃が行われていることを確認しており、修正パッチが用意できるまでの回避策として、QuickTimeを処理しないようにレジストリを変更するツール「Fix it」を提供している。
この脆弱性は、Windowsのコンポーネントの問題なので、アップルが提供するQuickTimeとは関係なく、QuickTimeがインストールされていない環境でも攻撃を受ける。QuickTimeをインストールした環境では、QuickTimeファイルの再生をQuickTimeが行うように構成されるが、ブラウザから問題のコンポーネントを直接呼び出すこともできるし、Media Player用のファイルを使って、細工したQuickTimeファイルを処理させることもできる。
QuickTimeの有無やブラウザの種類に関係なく攻撃を受ける可能性があるので、Windows XP/2000を使用している方は、下記「サポート技術資料971778」にある自働修正ツール「Fix it」を使い、同社が推奨する回避策を実施していただきたい。
【自働修正ツール「Fix it」を使った回避策】
このツールは、サポート技術資料の後半に書かれている、レジストリの修正を自動的に行う。
「回避策を有効にします」(Enable workaround)のアイコンでダウンロードされる「EnableAdvisory971778.msi」は、脆弱性のあるコンポーネントをレジストリから削除し、DirectShowがQuickTimeを処理しないようにする。「回避策を無効にします」(Disable workaround)のアイコンでダウンロードされる「DisableAdvisory971778.msi」は、QuickTimeを処理するようにコンポーネントをレジストリに登録する。
ツールの表示は英語だが、日本語を含む全ての環境での動作がサポートされている。実行するとライセンスへの同意を求められるので「I Agree(同意する)」のラジオボタンをクリック。「Next(次へ)」ボタンを押すと、レジストリの書き換えが行われる。
(2009/06/01 ネットセキュリティニュース)
■セキュリティアドバイザリ (971778) Microsoft DirectShow の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/971778.mspx
■サポート技術資料971778(マイクロソフト)
http://support.microsoft.com/kb/971778