デンマークのセキュリティベンダー会社Secuniaは12日（現地時間）、「MSN Messenger」v6.0/6.1/6.2と「Microsoft Word 2002」にshellプロトコルに関する脆弱性があると発表した。なお、現在本脆弱性が修正された最新版は公開されていない。

　今回発見された脆弱性の内容は、「MSN Messenger」v6.0/6.1/6.2と「Microsoft Word 2002」がshellプロトコルへのアクセスを制限していないため、ファイルパスや拡張子をshellプロトコルで指定することで、任意のプログラムをリモートで起動できてしまうという。ただし、起動オプションを指定してプログラムをリモートで起動することはできないとのこと。

　また8日に、同様の脆弱性が「Mozilla」「Firefox」「Thunderbird」に存在することが発表され当日に修正されるなど、shellプロトコルのセキュリティに関する信頼性が疑われつつある。Secuniaによると、WindowsのshellプロトコルはIEのさまざまな機能を実現するために利用されているにも関わらず、本質的に動作が不安定であるため、shellプロトコルのアクセスは十分に注意する必要があるとしている。

□Secunia - Advisories - Microsoft Products Fail to Restrict "shell:" Access
http://secunia.com/advisories/12042/
□窓の杜 - 【NEWS】脆弱性を修正した「Mozilla」「Firefox」「Thunderbird」の最新版が公開
http://www.forest.impress.co.jp/article/2004/07/09/mozillasecurity.html

（中井 浩晶）