マイクロソフトは11日、Windows XPとServer 2003の機能「Windowsのヘルプとサポートセンター」に脆弱性が見つかったとして、セキュリティアドバイザリ(2219475)を公開した。マイクロソフトはこの脆弱性を悪用するコードが一般に公開されていることを確認しているが、この悪用コードを使用する攻撃が行われていることは確認していないという。
ヘルプとサポートセンターは、Windows XPとServer 2003に含まれる機能。同機能から、オンラインヘルプやオンラインサポート、リモートアシスタンス等を利用することができる。
XPとServer 2003では、「hcp://」で始まるリンクをクリックすると同機能を呼び出すことができるが、今回見つかった脆弱性は、この「hcp://」リンクの取り扱いに問題があり、クロスサイトスクリプティングが発生するというもの。細工が施されたWebページを表示したり、メール内の細工が施されたリンクをクリックした場合、パソコンを乗っ取られるおそれがある。
フランスのVUPEN securityは、この脆弱性の深刻度を4段階中最も深刻な「Critical」とし、デンマークのSecuniaは、5段階中2番目に深刻な「Highly Critical」と位置づけている。
マイクロソフトは現在、この脆弱性を解決するための更新プログラムを開発中であり、当面の回避策として、レジストリを編集してHCPプロトコルの登録を解除することを挙げている。
また、US-CERT(米国コンピューター緊急対応チーム)は、Windows Media Playerをバージョン10以降にアップデートすることも、問題の回避に役立つとしている。これは、細工されたWindows Media Player fileを使って、この脆弱性を悪用することもできるため。バージョン10以降のWindows Media Playerでは、外部のコンテンツを開く前に確認画面が表示されるようになるので、脆弱性回避の助けとなる。
この脆弱性を発見したのはGoogleの研究者Tavis Ormandy氏。同氏は今月米国時間5日にこの問題についてマイクロソフトに連絡し、9日に問題の詳細と実証コードを公開した。
(2010/06/14 ネットセキュリティニュース)
■セキュリティアドバイザリ(2219475)(マイクロソフト)
Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/2219475.mspx
■Help and Support Center vulnerability full-disclosure posting[英文](Microsoft TechNet Blogs)
http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx
■Microsoft Windows Help and Support Center に脆弱性(JVN)
http://jvn.jp/cert/JVNVU578319/index.html
■Microsoft Windows Help Whitelist Bypass and Cross Site Scripting Issues
[英文](VUPEN security)
http://www.vupen.com/english/advisories/2010/1417
■Microsoft Windows Help and Support Center URL Processing Vulnerability[英文](Secunia)
http://secunia.com/advisories/40076/
■Vulnerability Note VU#578319 Microsoft Windows Help and Support Center URI processing vulnerability[英文](US-CERT)
http://www.kb.cert.org/vuls/id/578319