MS脆弱性研究チーム、109種のソフトウェア脆弱性を発見

　Microsoftの脆弱性研究（Microsoft Vulnerability Research：MSVR）チームは、2010年7月以来合計38社のベンダーに影響を及ぼす109種類のソフトウェア脆弱性を特定している。

　Microsoftの研究者は、AppleとGoogleを含むサードパーティーのベンダーの製品におけるセキュリティ脆弱性を密かに発見し、修復に力を貸してきた。

　8月だけでも、MSVRチームは「WordPress」とAppleの「Safari」ブラウザの文書の脆弱性について、アドバイザリをリリースしている。7月にはGoogleの「Picasa」とFacebookのセキュリティ脆弱性が発見され、修復された。

　2008年にローンチされたMSVRプログラムによって、Microsoftの研究者はサードパーティー製ソフトウェアのコードを監査し、それらの問題が公開されてしまう前に修復できるよう、影響を受けたベンダーと協調する自由を得た。

　2009年にGoogle Chrome Frameの危険なセキュリティホールが発見され、修復された際、MSVRチームの活動は注目を集めた。しかし、同チームがこの1年間、サードパーティー製ソフトウェアの何百種類ものセキュリティ脆弱性を開示してきたことはあまり知られていない。

　Microsoftによると、MSVRチームは2010年7月以降、合計38社のベンダーに影響を及ぼす109種類のソフトウェア脆弱性を特定し、責任を持ってその情報を開示したという。

　2010年7月以降にMSVRを通して発見されたサードパーティーの脆弱性の93％以上はCritical（深刻）またはImportant（重要）と評価された、と同社は説明した。

　「報告された全ての脆弱性の97％について、ベンダーは反応を示し、弊社と協調してきた。2010年7月以降に発見されたサードパーティーの脆弱性の29％は既に解決済みだ。また、アップデートのない脆弱性が攻撃で悪用された事例は確認されていない」（Microsoft）

　先週には以下の脆弱性が発見された。

• Safariが特定のコンテンツタイプを処理する方法に脆弱性が存在する。攻撃者がこの脆弱性を悪用すると、Safariはスクリプトコンテンツを実行して、機密を含んでいるかもしれない情報を開示してしまう可能性がある。この脆弱性を突くことに成功した攻撃者は、将来的な攻撃で利用可能な機密情報を入手することになる。

• WordPressがクロスサイトスクリプティングおよびコンテンツタイプ違反に対して以前実装していた保護対策に脆弱性が存在する。攻撃者はこの脆弱性を悪用して、スクリプト実行を遂行できる可能性がある。