マイクロソフトから、ほぼ全てのWindowsに悪意を持ったプログラムの実行を許す重大なセキュリティホールがある事が明らかにされた。
福岡市博多区堅粕、みかさ新橋にて |
時を同じくして3つの問題が出ているが、重要なのはMS03-030 「DirectX の未チェックのバッファにより、コンピュータが侵害される」というもの。
DirectXコンポーネントでMIDIのパラメータをチェックする処理に2つのバッファオーバーランが存在し、ログオン中のユーザー権限で任意のコードを実行させる事ができるというものだ。
この件は、先日の件と違ってネットワークに接続しているだけで攻撃を受けるような事は無い。とは言えMIDIファイルの演奏は論外としても、HTMLメールやBGMとしてMIDIが組み込まれているWebページも珍しくないので、すべてのユーザーは一刻も早く対策すべき。
そゆわけで大至急修正プログラムを適用するか、DirectX 9.0b にアップデートすべし。なお、以下の2点を注意事項として列挙しておく。
●Windows 2000のDirectX 8.1には修正プログラムがリリースされないので、9.0bへのアップデートが必須となる。
▲DirectX 9.0bは「NT4.0 を除くすべての Windows のバージョンに対応」と謳われているが、NEC PC-9801/9821 Seriesの最新版DirectXは7.0aであり、9.0bのsetupを起動しても「このバージョンのDirectXは現在インストールされているバージョンのWindowsと互換性がありません」と言われてインストールできない。つまりのNEC PC-9801/9821 Seriesにおいてマイクロソフト公認のMS03-030対策はDirectXをアンインストールするしか無い事になる。が、捨てる神あれば何とやら。DirectX8.0(a)、8.1(b)、および9.0(a)をNEC PC-9821に無理矢理インストールするためのパッチがフリーソフトとして出回っていて、早速DirectX9.0b対応のパッチ http://hp.vector.co.jp/authors/VA007918/DX8NEC98.LZHもリリースされたそうなので参考まで。
ちなみにあと2つの脆弱性は、MS03-029「Windows の機能の問題により、サービス拒否が起こる (823803)」がNT Server 4.0のみ、MS03-031「Microsoft SQL Server 用の累積的な修正プログラム (815495)」が読んで字の如くSQL Serverのみが対象となるので、該当システムを使用しているユーザーはできるだけ早く修正プログラムを適用しよう。
【参照】
●ITmedia news
-DirectXに「緊急」の脆弱性 2003年7月24日
-NT Server 4.0にアプリケーション終了のおそれのあるセキュリティホール 2003年7月24日
-またも相次ぐMS発のセキュリティ警告 2003年7月24日
-マイクロソフト、SQL ServerおよびMSDE向けに累積的なパッチを公開 2003年7月24日
●マイクロソフトTechNetセキュリティセンター
-「MS03-029: Windows の機能の問題により、サービス拒否が起こる (823803)」に関する要約情報 【注意】
-「MS03-030: DirectX の未チェックのバッファにより、コンピュータが侵害される (819696)」に関する要約情報 【緊急】
-「MS03-031: Microsoft SQL Server 用の累積的な修正プログラム (815495)」に関する要約情報 【注意】
■DirectX
> DirectX 9.0b End-User Runtime
●ベクター
-DirectX8 For NEC98
DirectX9.0b対応のパッチ http://hp.vector.co.jp/authors/VA007918/DX8NEC98.LZH