2003年09月08日(月) 17時05分
米MS、とんだお粗末-重大な脆弱性用のパッチが役立たず(CNET Japan)
セキュリティの専門家によると、Internet Explorerのなかに発見された重要な脆弱性を修正するために、米Microsoftがリリースしたパッチが、実は機能しないという。
「ObjectのType」に関する脆弱性は、約4カ月前にeEye Digital Security(eEye)が発見したもので、これに対するパッチは8月20日にリリースされた。その後、このパッチが、環境によってはデフォルトではないOSインストールに対して問題を引き起こす可能性があると分かったため、8月28日に累積パッチが再度リリースされた。そして現在、この累積パッチが修正するはずの脆弱性を修正しないことが判明したため、またもやパッチが再リリースされることになりそうだ。
この脆弱性を悪用すると、ユーザーがIEを利用してウェブページを閲覧した際に、悪意あるコードを呼び出して実行してしまうような悪意のあるHTMLファイルがつくれてしまう。
米国にいるeEyeの「チーフハッキングオフィサー」、Marc Maiffretは、ZDNet Australiaの電話取材に答え、この脆弱性は簡単に悪用できてしまうことから、特に重要度が高いと述べた。「悪用するのがとても簡単だから、かなり深刻といえる。バッファオーバーフローを悪用したり、それに似たものを作成するようなスキルがなくても、利用できる脆弱性だ」と、Maiffretは指摘した。
同氏は、Microsoftは最初に脆弱性が判明したときに適切なパッチを作成すべきだったと言う。「こんなに簡単なものを修正するパッチの作成に4カ月もかかった上に、しかもそのパッチが適切に動作しないなんて、どういうことだろう? Microsoftはセキュリティ問題に真剣に取り組んでいるようだ。(しかし)同時に、セキュリティ問題の改善に本当にお金と人材をつぎ込んでいるとは思えない」と、Maiffretは語った。
パッチの欠陥を発見した研究者が「単なる見落とし」と表現するこの事件が起こった理由の1つとして、Microsoft社内に適切なスキルを持ったセキュリティ専門エンジニアがいないことが挙げられると、Maiffretは説明。「適切な人材を社内に擁することで、多くのことは解決できる。Microsoftは有能な社員を雇っているが、それだけでは十分でないことは明らかだ」(Maiffret)。
今回のセキュリティ問題を最初に公表したのはmalware.comだが、Microsoftが公表前にこの情報を知らされていたかどうかは疑わしいとMaiffretは考えている。「malware.comが発見し、情報を公開した・・・彼らがその情報をMicrosoftに知らせたかどうか、確信は持てない。この方法が通常は最善なのだが」とMaiffret。
この問題について心配なユーザーは、Microsoftが新しいパッチを提供するまで、ブラウザのアクティブスクリプト機能を無効にすれば、脆弱性は軽減される。
関連記事:
マイクロソフト、今度はIE上の重大な欠陥を警告
また「緊急」の欠陥-今度はMS Officeに
ソフトウェアの欠陥に、法的な製造者責任は問われないのか?
Windowsの脆弱性を悪用するコード公開でワーム攻撃の怖れ
いつまで続く?-Windowsにまたもや「重大な欠陥」
だからマイクロソフトは嫌われる?-セキュリティ担当者の呆れた弁解
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
海外CNET Networksの記事へ
【CNET Japanニューズレター】(無料)
最新ニュースを毎朝メールでお届けします。お申し込みはこちらから。
[CNET Japan]
http://japan.cnet.com/ (CNET Japan)
http://headlines.yahoo.co.jp/hl?a=20030908-00000008-cnet-sci