DirectXにバッファオーバーラン脆弱性、WebとHTMLメールで発動
タレコミ by k3c
k3c 曰く、
マイクロソフトのセキュリティ情報MS03-030(英語情報)によれば、DirectXのバージョン5.2〜9.0aにおいてMIDIファイルのパラメータチェックに問題があり、バッファオーバーフローによって任意のプログラムやスクリプトをログインしているユーザの権限で動作させられる可能性がある。WebページにExploitを仕込んだファイルへのリンクを貼る、またはネットワーク共有で実行させたり、Webページに埋め込むことで発動させられる。また、HTMLメールを表示させることでも発動させられるという。重要度は「緊急(Critical)」となっており、Windows98以降の全てのバージョンのWindowsユーザーが対象。WindowsとDirectXのバージョンの組み合せによってダウンロードするファイルが異なるので、セキュリティ情報をきちんと確認すべし。…なお、Windows NT 4.0以外では同時にリリースされたDirectX 9.0bをインストールすることでも穴をふさぐことができる。