ネットワーク・セキュリティ・ソフトウエアのGFI社(本社:イギリス,London)は11月23日,Windows ME (Millennium Edition)に付属しているWindows Media Player 7にセキュリティ・ホール「WMS Script Execution」があることを発見し,Microsoft社に通知したと発表した。Windows MEユーザーがWindows Media Player 7を用いてWebサイトを閲覧したり,HTML emailを開こうとした場合,悪意のユーザーが作成した有害なコードの起動を許す可能性があるという。Microsoft社はその事実を確認し,同社のセキュリティ掲示板(Microsoft Security Bulletin)上でユーザーに警告した(番号はMS00-090 。Windows Media Player 6.4と7の双方に影響がある「.ASX Buffer Overrun」問題も合わせて触れられている)。
Windows Media Player 7はWindows MEにデフォルトでバンドルされており,さらにMicrosoft社のダウンロードサイトからも無料でダウンロードできる。このソフトウェアはインタフェースを変更することができるスキニング機能(Skinning)を備えており,この機能を使ってプログラム・コードをリモートマシン上でも実行させることができる。
GFI社は,この機能を悪意のユーザーが悪用すれば,有害なプログラムコードをWebサイトやHTML emailに忍ばせることにより他人のマシン上で起動させることができることを発見した。問題はJavaScriptファイル(.js)がMedia Playerのスキンファイル(.wmz)に埋め込まれることにより発生している(スキンファイルはまた,Windows Downloadファイル(.wmd)に埋め込まれる)。Media Playerファイルはiframeタグやスクリプトタグ内のwindows.open()を用いて自動的に実行されるため,アタッチメント開かなくとも,コンテンツをダウンロードしただけで有害なJavaScriptコードが起動されてしまうという。
これを防ぐためには,WMDおよびWMZファイルを含む受信メールにフィルタを適用してJavaScript,iframeタグ,メタリフレッシュ・タグ,およびActive Xタグを削除する必要がある。GFI社は,同社の「Mail essentials」のような電子メールのコンテンツをチェックするゲートウェイ・ソフトウエアを使用することにより自動的に実行可能であるとしている。
■[GFI社の発表資料]
■[Microsoft Security Bulletin MS00-090のページ]
