お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

信用できるか?-- オープンソースサイトが、IE用の非公式パッチ公開

2003/12/22 09:16
  • このエントリーをはてなブックマークに追加

 オープンソースソフトウェア開発サイトのOpenwares.orgは、米MicrosoftのInternert Explorerブラウザにある「緊急」レベルの脆弱性を修正するパッチを公開した。しかし、ソフトウェア開発者やアナリストらは、このパッチをインストールしないようアドバイスしている。

 問題の脆弱性は、IEがアドレスバーにあるURLを表示しながら、実際には別のページを表示してしまうというもの。ユーザーはこの脆弱性により、ウェブ偽装詐欺などの罠にかかりやすくなってしまう。たとえば、オンラインバンキングのユーザーには、自分の使う銀行から送られてきたように見せかけた偽の電子メールが届き、リンクをクリックして銀行のウェブサイトを開き、セキュリティアクセス情報を「確認」するよう求められるかもしれない。単純な偽装詐欺なら、Internet Explorerのアドレスバーに銀行のURLとは異なるURLが表示されるのですぐに分かるが、手の込んだ詐欺の場合、問題のIEの脆弱性を悪用することがあるので騙されやすくなってしまう。

 Microsoftはこの脆弱性のパッチをまだリリースしていない。ユーザーはこのオープンソースのパッチをついダウンロードしたくなるだろうが、アナリストらはダウンロードしないよう警告している。Ovumの主任アナリスト、Graham Titteringtonはこのパッチに懐疑的で、Openwares.orgのパッチは機能するかもしれないが、今後のMicrosoftのアップデートとの動作問題を引き起こす可能性があるとして、Microsoftが公式パッチをリリースするまで待つようアドバイスしている。「Microsoftは自社のソフトウェアであるIEのソースコードにアクセスできるけれど、Openwares.orgはできない。たとえこれがきちんと機能する本物のパッチであっても、今後リリースされるMicrosoftのパッチと互換性があるかどうか全く分からない」(Titterington)

 Openwares.orgによると、このパッチは15日(米国時間)に公開されてから約1000回ダウンロードされたという。同サイトは、読者が書いて投稿したソフトウェアを公開しているが、開発者ディスカッショングループでは、このパッチ作者の動機に対して懸念が広がっている。このパッチはURLをパッチ作者のサーバに転送するため、このパッチ自体がプライバシーに対する脅威になっている可能性がある、と一部の開発者らは警戒している。

 それに対して、このパッチを勧める者たちは、転送されるのは疑わしいURLだけであり、パッチが動作するためにはURLを転送する必要があるのだ、と述べている。またコントリビュータのなかには、Microsoftがこの脆弱性の存在を認めてから2週間近く経つのに、まだ独自のパッチをリリースしていないことから、このパッチを歓迎する向きもある。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社