マイクロソフト株式会社は、本日、Windows Vista オペレーティングシステム、Server 2008、および Microsoft Office 2003 から 2010 に脆弱性が発見された製品のセキュリティ警告を発表しました。ハッカーは、ユーザーが信頼する電子メールまたはその他の手段でユーザーにリンクを送信し、そのリンクをクリックしてウェブページやドキュメントを表示するよう、ユーザーを説得または誘惑することができます。
このウイルスメールやリンクには、ハッカーがユーザーのコンピュータに侵入し、システムに損害を与えることができるように偽装されたTIFFイメージが含まれています。しかし、これはユーザーがリンクをクリックした場合にのみ可能です。ユーザーがTIFFイメージを開くと、プログラムが自動的に実行され、ハッカーはユーザーのコンピュータを制御できるようになり、コンピュータが制御下に置かれるとやりたい放題になります。
この攻撃は、電子メールを装って、潜在的なターゲットに特別に細工されたリンクを開くよう求めるというインタラクティブなものです。添付ファイルが開かれたりプレビューされたりすると、脆弱性を悪用しようと、不正なグラフィックイメージを文書に埋め込み、ユーザーのコンピュータに攻撃を仕掛けようとします。攻撃者が脆弱性の悪用に成功すると、ログインしているユーザーと同じユーザー権限を得ることができます」。
マイクロソフトは、一時的な修正として、TIFFエンコーディングを無効にし、「Enhanced Mitigation Experience Toolkit」をインストールするMicrosoft Fix it臨時パッチを発行しました。一方、同社によると、この問題を完全に解決するために、この脆弱性に対する恒久的なパッチの開発に取り組んでおり、毎月のサニティパッチリリースまたは次の非緊急パッチリリースサイクル中にダウンロードできるようになる予定とのことです。
この脆弱性は、現時点ではあまり多くのオペレーティングシステムを巻き込むものではありませんが、もしあなたが上記の脆弱性のあるシステムのユーザーであれば、あなたのコンピュータが感染するのを防ぐために、不明な送信元からのメールやリンクをクリックしないようにしてください。
出典:
