マイクロソフトは6月26日,Windows Media Player 9 SeriesおよびMedia Player on Windows Server 2003のセキュリティ・ホールを公開した。細工が施されたWebページやHTMLメールを閲覧すると,Media Playerの「メディアライブラリ」に登録してある情報を読み取られたり,操作されたりする恐れがある。ただし,メディアライブラリ以外の情報を読み取られることはない。任意のコードを実行させられる恐れなどもない。深刻度は下から2番目の「警告」。対策は「Windows Update」などからパッチを適用すること。

 Media Player 9 SeriesおよびMedia Player on Windows Server 2003に含まれるActiveXコントロールにセキュリティ・ホールが見つかった。このセキュリティ・ホールにより,HTMLファイル中に特定のスクリプトを埋め込むことで,メディアライブラリの情報にアクセスすることが可能となる。

 具体的には,メディアライブラリに登録されている「再生リスト」の内容を読み取られたり,その内容を変更されたりする可能性がある。メディアライブラリの情報から,ログイン・ユーザー名を知られる可能性もある。

 ただし,アクセスが可能なのはメディアライブラリの情報だけである。マシン(ハードディスク)に保存されている他のデータ(ファイル)にアクセスすることはできない。コード(プログラム)を実行させることなども不可能である。

 このため,セキュリティ・ホールの深刻度は「警告」に設定されている。対策はパッチを適用すること。セキュリティ情報のページ「Windows Update」から適用できる。Media Player 9 Seriesのパッチは,Windows 98/98SE/ME/2000 SP2/2000 SP3/2000 SP4/XP/XP SP1――に適用できる。

 なお,Windows Media Player 6.4/7.1/for Windows XP(8.0)は,今回のセキュリティ・ホールの影響を受けない。6.4よりも古いバージョンはサポート対象外であるためテストされていないので,影響を受けるかどうか分からないという。

 セキュリティ・ホールの悪用にはスクリプトが使用されるものの,Media Playerの「オプション」メニューの「セキュリティ」タブ中にある「スクリプト コマンドが含まれている場合は実行する」を無効(チェックをはずした状態)にしていても防ぐことはできないので注意が必要である。

◎参考資料
「MS03-021: Windows Media Player の問題により,メディア ライブラリがアクセスされる (819639)」に関する要約情報
MS03-021:Flaw In Windows Media Player May Allow Media Library Access (819639)
絵でみるセキュリティ情報「MS03-021 : Windows Media Player の重要な更新」
MS03-021: Windows Media Player の問題により,メディア ライブラリがアクセスされる (819639)

(勝村 幸博=IT Pro)