Windowsヘルプに未修正の脆弱性が見つかる――情報公開に批判も - ITmedia エンタープライズ(情報元のブックマーク数)

IT セキュリティ

Windows Helpにパッチの出ていない脆弱性情報が出ているとの事。セキュリティアドバイザリも出ています。

Microsoftは6月10日、Windowsヘルプに未修正の脆弱性が存在するとして、アドバイザリーを出して注意を呼び掛けた。同社の発表を待たずに情報を開示した研究者に対し、「責任ある情報開示を求める」と批判している。
セキュリティ企業のフランスのVUPENとデンマークのSecuniaも、この脆弱性の存在を確認したとしてアドバイザリーを公開した。脆弱性WindowsのHelp and Support Centerアプリケーション(helpctr.exe)内部の機能のエラーに起因し、悪用されるとシステムを制御される恐れがあるという。
Microsoftによると、この脆弱性Windows XPWindows Server 2003に影響がある。一方、Windows VistaWindows 7Windows Server 2008Windows Server 2008 R2は影響を受けず、攻撃のリスクも存在しないとしている。

Windowsヘルプに未修正の脆弱性が見つかる――情報公開に批判も - ITmedia エンタープライズ

Googleの技術者が情報を出したんだ・・・

米国Microsoftは6月10日、Windows XPWindows Server 2003に未パッチの脆弱性があることを認めた。攻撃者がユーザーをだまして不正なWebサイトを訪問させたり、不正な電子メールを開かせたりすることで、この脆弱性を悪用してリモートからコンピュータ上でコードを実行するおそれがあるが、同社は、この脆弱性を悪用した攻撃事例は確認していないと述べている。
Microsoftが10日午後に公開したセキュリティ・アドバイザリによれば、この脆弱性の脅威は、WindowsのヘルプとサポートセンターがHCPプロトコルを使用するときに、適切にURLを検証しないために発生するという。Windows VistaWindows 7Windows Server 2008、同R2は、この脆弱性の影響を受けない。なお、HCPプロトコルは、URLリンクを実行してヘルプとサポートセンター機能を開くために使われる。

http://www.computerworld.jp/topics/vs/184189.html?RSS

たった5日とは・・・

同氏は、この脆弱性Microsoftに通報して5日後にこれらを公開し、この措置は妥当だったとしている。一方、Microsoftや一部のセキュリティ専門家は、公開のタイミングの早さに疑問を呈した。

http://www.computerworld.jp/topics/vs/184189.html?RSS

FixITが出たそうです。

マイクロソフト株式会社は14日、Windowsのヘルプ機能に発見された脆弱性に対して、回避策を確実に適用できる「Fix it」を公開した。対象となるOSはWindows XPおよびWindows Server 2003
この脆弱性は、Windows XPおよびWindows Server 2003のヘルプ機能(ヘルプとサポートセンター)に存在するもの。「hcp://」で始まる特別に細工されたURLリンクをユーザーがクリックした場合、任意のコードを実行させられる危険がある。既に、この脆弱性を悪用するコードも公開されている。

Windowsヘルプの脆弱性、MSが回避策適用ツール「Fix it」を公開 -INTERNET Watch Watch

関連URL

screenshot