マイクロソフトは、WindowsXPに組み込まれているWindows Shellに未チェックのバッファがあり、不正な形式のオーディオファイルによってバッファオーバーラン攻撃を受けるおそれがあることを明らかにした。 深刻度評価は最上位の「緊急」。メールやWWWブラウザ、フォルダ共有などを経路に攻撃が可能なセキュリティホールとなっている。 この問題は、Windows ShellがMP3またはWMA形式のファイルからカスタム属性情報を抽出する部分に、未チェックのバッファがあることが原因。不正な形式のMP3・WMAファイルにマウスカーソルをあわせた(クリックではない)ときや、こうしたファイルが置かれているフォルダを開いたときなどに、Windows Shellが異常終了したり、不正なコードが実行されるおそれがある。 修正プログラムは現在すでに配布中。セキュリティコンテキストはログオンしているユーザのものとなるため権限は制約されるが、WindowsXPの場合、制限付きアカウント以外はAdministratorsグループになるため油断はできない。XPを利用しているユーザはできるだけ早めに修正プログラムを適用していただきたい。
Windows11、10月5日から段階的に提供開始!
