2003年10月16日(木) 09時07分

MS、Hotmailの脆弱性修正（ZDNet）

　米Microsoftはウイルス対策ソフトメーカー米Finjan Softwareからの通報を受けて、Webベースの電子メールサービスHotmailの脆弱性を修正した。この脆弱性が悪用されるとHotmailが攻撃を受けてクラッシュにつながる恐れもあった。

　Finjan Softwareは10月15日、この脆弱性について10月8日にMicrosoftに連絡し、Microsoftが24時間以内に問題を修正したと明らかにした。この脆弱性が悪用されると、攻撃者はHotmailコンポーネント間の相互通信を利用してユーザーのアドレス帳にアクセスし、電子メールを送信することが可能だった。これによって、Hotmailワームを作成してユーザーが感染メールを開くたびに拡散させることもできたはずだと、Finjanウイルス研究所のマネジャー、メナシュ・エリーザー氏は話している。

　Finjanによれば今回の脆弱性において、ActiveXコントロールの行動を監視するHotmailのアクティブコンテンツフィルターがすべてのスクリプトを適切に遮断していなかった。ActiveXコントロールはWebサイトに双方向性を与えるためのプログラム。Hotmailの電子メールメッセージにアクセスしたシステムはすべてこの脆弱性の影響を受ける可能性があった。

　MicrosoftもFinjanの通報を受けて脆弱性を修正したことは認めている。しかし、システムのセキュリティ強化に向けた「信頼できるコンピューティング」戦略をほぼ2年越しで進めていながらなぜこの脆弱性が放置されていたのかについては今のところコメントしていない。（ZDNet）

http://headlines.yahoo.co.jp/hl?a=20031016-00000013-zdn-sci