「Visual Studio」の脆弱性を突くコード出現--深刻度は「重大」

Microsoftは、開発者向けスイート「Visual Studio」のセキュリティホールがユーザーを標的とする攻撃に悪用されているとの警告を発した。

　Microsoftが米国時間10月31日夜に公表した セキュリティ勧告 によると、この脆弱性はVisual Studio 2005の「ActiveXコントロール」に存在しているという。同社は「この脆弱性の悪用に成功した攻撃者は、システムを完全にコントロールすることができるようになる」と警告している。

　セキュリティ監視会社French Security Incident Response Teamは、サイバー攻撃者が既にこの脆弱性を悪用した攻撃を行っていると警告している。同社はこの脆弱性の深刻度を、 最高レベルの「重大」であると判断している 。

　Microsoftは同社の Security Responseブログ において、この脆弱性を悪用した限定的な攻撃の可能性を認識していることを明らかにしている。

　同社によれば、攻撃を成功させるためには、Visual Studioユーザーをだまして不正なウェブサイトを閲覧させる必要があるという。同社はこの脆弱性に対する修正を計画しており、月例パッチサイクルでリリースする予定にしているものの、いつの月例パッチに含めるのかについては明らかにしていない。

　脆弱性のあるこのActiveXコントロールは、WmiScriptUtils.dllに含まれる「WMI Object Broker」である。これはVisual Studio 2005の「WMI Wizard」によって使用されるものである。WMI、すなわちWindows Management Instrumentationは、Windows Driver Modelに対する一連の拡張である。

　この脆弱性は、Visual Studio 2005を稼働させているシステムに影響を与える。Microsoftによれば、Windows Server 2003およびWindows Server 2003 Service Pack 1をデフォルト構成で稼働させ、セキュリティ強化の構成をオンにしているシステムは影響を受けないという。

　また同社によれば、デフォルト設定のInternet Explorer 7にアップグレードされたVisual Studio 2005マシンは、インターネットゾーンのActiveXのオプトイン機能を利用してWMI Object Broker ActiveXコントロールを有効にしていない限り、影響を受けないという。

　Microsoftの次回のパッチリリースは11月14日に予定されている。


この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

[CNET Japan]
http://japan.cnet.com/

（CNET Japan） - 11月2日