米Microsoftは米国時間2009年5月28日，Windows標準のマルチメディア機構「DirectX」に存在するセキュリティ・ホールの情報を公開した。細工されたQuickTimeファイルをWindows 2000 Service Pack 4，Windows XP，Windows Server 2003で開くと，遠隔コード実行をされる恐れがある。現時点で修正パッチは未提供。Windows VistaとWindows Server 2008は影響を受けない。

　セキュリティ・ホールが存在するDirectXのバージョンは「7.0」「8.1」「9.0／9.0a／9.0b／9.0c」。ユーザーが悪質なWebサイトに誘導されて特殊なQuickTimeファイルを開くと，そのユーザーと同じ権限で勝手にコードが実行される恐れがある。限定的ではあるが，すでにこのセキュリティ・ホールを悪用した攻撃が行われているという。QuickTime機能を無効化すれば攻撃を回避できる。

　同社はセキュリティ情報「Microsoft Security Advisory（971778）：Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution」の配信で注意を呼びかけている。米国政府向けの技術支援や研究開発を行う非営利組織MITREは，同セキュリティ・ホールに管理番号「CVE-2009-1537」を割り当てた。

[発表資料へ]