WindowsのEmbedded OpenType処理の脆弱性に関する検証レポートを発表（NTTデータ・セキュリティ）

製品・サービス・業界動向業界動向

17 views

2009.11.18 Wed 17:15

　NTTデータ・セキュリティ株式会社は11月13日、Microsoft WindowsのEmbedded OpenType（EOT）処理の脆弱性（MS09-065）に関する検証レポートを発表した。複数のバージョンのWindowsに含まれるEOTには、DoS攻撃を受ける脆弱性が確認されており、さまざまな経路により細工されたフォント情報を開いた場合にシステムをクラッシュされる可能性がある。同社ではこの脆弱性について、再現性の検証を行った。

　検証は、Windows Server 2003 SP2 日本語版およびWindows XP SP3 日本語版をターゲットシステムとして、細工したWebコンテンツをロードさせることで実施された。この結果、ターゲットシステムにBSOD（Blue Screen of Death：ブルースクリーン）が引き起こされた。これにより、ターゲットシステムのクラッシュ（強制終了）に成功したことになる。なお、Microsoft社からリリースされている修正プログラムを、十分な検証の後適応することを推奨している。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091113_1.pdf

《ScanNetSecurity》