Microsoft DirectShow の脆弱性（MS09-028）について

マイクロソフト社の Microsoft DirectShow (以下、DirectShow)(*) にリモートからコード(命令)を実行される脆弱性(971633)(MS09-028)が存在します。

(1)DirectX のNULLバイトの上書きの脆弱性　　- CVE-2009-1537
(2)DirectX のポインターの検証の脆弱性　　　　- CVE-2009-1538
(3)DirectX のサイズの検証の脆弱性　　　　　　- CVE-2009-1539

これらの脆弱性が残っている場合、攻撃者が巧妙に細工したQuickTime(**)のメディアファイルをユーザが閲覧することにより、 ユーザのパソコンのアプリケーションがクラッシュしたり、場合によっては、攻撃者がユーザのパソコンを制御できるようになる恐れがあります。

CVE-2009-1537 を悪用した攻撃が既に確認されているため、至急、修正プログラムを適用して下さい。

　注(*) 動画や音楽データをウェブサイトからダウンロードしながら同時に再生するプログラム
　注(**) アップル社が提供する動画や音楽などを再生するプログラム

• Windows 2000 SP4　DirectX 7.0
• Windows 2000 SP4　DirectX 8.1
• Windows 2000 SP4　DirectX 9.0
• Windows XP SP2 および SP3　DirectX 9.0
• Windows XP Professional x64 Edition SP2　DirectX 9.0
• Windows Server 2003 SP2　DirectX 9.0
• Windows Server 2003 x64 Edition SP2　DirectX 9.0
• Windows Server 2003 with SP2 for Itanium-based Systems　DirectX 9.0

1. 脆弱性の解消 - 修正プログラムの適用 -

マイクロソフト社から提供されている修正プログラムを適用して下さい。
修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

• Microsoft Update による一括修正方法

  Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
  http://windowsupdate.microsoft.com/

  Microsoft Update の利用方法については以下のサイトを参照してください。
  http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx

  なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。

• 個別の修正プログラムをダウンロードしてインストールする方法

  下記のマイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
  http://www.microsoft.com/japan/technet/security/bulletin/ms09-028.mspx

2. 回避策

マイクロソフト社から提供される情報を参照して下さい。

• マイクロソフト社からの情報(MS09-028)
  http://www.microsoft.com/japan/security/bulletins/ms09-028e.mspx
  http://www.microsoft.com/japan/technet/security/bulletin/ms09-028.mspx

• JVN iPedia
  http://jvndb.jvn.jp/jvndb/JVNDB-2009-001563
• SecurityFocus
  http://www.securityfocus.com/bid/35139
• Secunia
  http://secunia.com/advisories/35268/
• CVE番号
  CVE-2009-1537　　 CVE-2009-1538　　 CVE-2009-1539