この年末年始の休みに、セキュリティの世界ではまた一つ大きな騒動があったようです。
Windows Meta File (
WMF)に脆弱性があったとかで、WinXP SP1,SP2,Windows Server 2003 が対象となるようです(2003 SP1が名前に挙がっていないがどうだろう?)。
この Windows Meta File というのは、
|
WMF(ダブリューエムエフ。Windows Meta File):RBB TODAY (ブロードバンド辞典)
> Windowsで使用される描画命令(GDI)から構成されているファイル
要するに、グラフィック表示コマンド(=GDI)をもつ中間ファイルであり、ベクタ画像データを保持しているということ。
今回の一件というのは、このグラフィック表示命令に不正な命令を混入することでリモートコントロールできてしまう、といったところのようです。
| マイクロソフト、
WMF脆弱性用パッチをリリース--月例パッチサイクルを前倒しに- CNET Japan
> この問題をめぐっては、一部のセキュリティ専門家が、ヨーロッパのプログラマIlfak Guilfanovが開発した非公式パッチの適用をユーザーに推奨するという異例の事態まで起こっていた。
| Windows Meta Fileの脆弱性をめぐって異例の事態--専門家が非公式パッチを推奨
中の人の方はといえばもう大騒ぎの模様。
ちなみに、
> システム管理者なら、「shimgvw.dll」というファイルの登録を解除することでこの問題を回避できる
そうです。
| Windows 98, ME users left vulnerable to
WMF bug - News.blog CNET News.com
前みたいに逐語訳をしても仕方がないので一部抜粋してコメント。
> Microsoft on Thursday rushed out an update to address a serious security flaw in Windows. Patches are available for Windows 2000, Windows XP, and Windows Server 2003, but Microsoft left out Windows 98 and Windows Millennium Edition.
パッチは2000、XP,2003向けにリリースされているが、98とMeにはリリースされていない。(MSのサポート期間が終了したからだろう)
> Experts from iDefense, F-Secure and SANS agree that no attacks that target the older Windows versions have surfaced. Yet...
(MSのコメントとしても旧バージョンOSを標的とする攻撃はまずないだろうとあり、)各ポータルもそれに同意している。しかし...
> By not fixing the older versions of Windows, Microsoft is leaving its customers out in the cold, Murray said. "In a way they are forcing customers to upgrade, saying that you can continue to use those older operating systems if you want to be vulnerable," he said.
サポート期間をMSが打ち切ったとしてもNT4.0とか98といった旧バージョンのOSが市場で使いつづけられる限り、MSはベンダーとして脅威を放置したとする批判を免れるものではないだろう。
more...

|

|

|

|

|

|

|
|
|
|
|
|
|
|
|
|
|
|
|
tag : WMF