第09-26-156号
最終更新日:2009年 7月15日
※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
マイクロソフト社の Microsoft DirectShow (以下、DirectShow)(*) にリモートからコード(命令)を実行される脆弱性(971633)(MS09-028)が存在します。
-
(1)DirectX のNULLバイトの上書きの脆弱性 - CVE-2009-1537
(2)DirectX のポインターの検証の脆弱性 - CVE-2009-1538
(3)DirectX のサイズの検証の脆弱性 - CVE-2009-1539
これらの脆弱性が残っている場合、攻撃者が巧妙に細工したQuickTime(**)のメディアファイルをユーザが閲覧することにより、 ユーザのパソコンのアプリケーションがクラッシュしたり、場合によっては、攻撃者がユーザのパソコンを制御できるようになる恐れがあります。
CVE-2009-1537 を悪用した攻撃が既に確認されているため、至急、修正プログラムを適用して下さい。
注(*) 動画や音楽データをウェブサイトからダウンロードしながら同時に再生するプログラム
注(**) アップル社が提供する動画や音楽などを再生するプログラム
対象
- Windows 2000 SP4 DirectX 7.0
- Windows 2000 SP4 DirectX 8.1
- Windows 2000 SP4 DirectX 9.0
- Windows XP SP2 および SP3 DirectX 9.0
- Windows XP Professional x64 Edition SP2 DirectX 9.0
- Windows Server 2003 SP2 DirectX 9.0
- Windows Server 2003 x64 Edition SP2 DirectX 9.0
- Windows Server 2003 with SP2 for Itanium-based Systems DirectX 9.0
対策
1. 脆弱性の解消 - 修正プログラムの適用 -
マイクロソフト社から提供されている修正プログラムを適用して下さい。
修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。
Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspxなお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。
-
個別の修正プログラムをダウンロードしてインストールする方法
下記のマイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-028.mspx
2. 回避策
マイクロソフト社から提供される情報を参照して下さい。
参考情報
-
JVN iPedia
http://jvndb.jvn.jp/jvndb/JVNDB-2009-001563 -
SecurityFocus
http://www.securityfocus.com/bid/35139 -
Secunia
http://secunia.com/advisories/35268/ -
CVE番号
CVE-2009-1537 CVE-2009-1538 CVE-2009-1539
更新履歴
2009年 7月15日 | 掲載 |
---|