セキュリティの専門家によると、Internet Explorerのなかに発見された重要な脆弱性を修正するために、米Microsoftがリリースしたパッチが、実は機能しないという。
「ObjectのType」に関する脆弱性は、約4カ月前にeEye Digital Security(eEye)が発見したもので、これに対するパッチは8月20日にリリースされた。その後、このパッチが、環境によってはデフォルトではないOSインストールに対して問題を引き起こす可能性があると分かったため、8月28日に累積パッチが再度リリースされた。そして現在、この累積パッチが修正するはずの脆弱性を修正しないことが判明したため、またもやパッチが再リリースされることになりそうだ。
この脆弱性を悪用すると、ユーザーがIEを利用してウェブページを閲覧した際に、悪意あるコードを呼び出して実行してしまうような悪意のあるHTMLファイルがつくれてしまう。
米国にいるeEyeの「チーフハッキングオフィサー」、Marc Maiffretは、ZDNet Australiaの電話取材に答え、この脆弱性は簡単に悪用できてしまうことから、特に重要度が高いと述べた。「悪用するのがとても簡単だから、かなり深刻といえる。バッファオーバーフローを悪用したり、それに似たものを作成するようなスキルがなくても、利用できる脆弱性だ」と、Maiffretは指摘した。
同氏は、Microsoftは最初に脆弱性が判明したときに適切なパッチを作成すべきだったと言う。「こんなに簡単なものを修正するパッチの作成に4カ月もかかった上に、しかもそのパッチが適切に動作しないなんて、どういうことだろう? Microsoftはセキュリティ問題に真剣に取り組んでいるようだ。(しかし)同時に、セキュリティ問題の改善に本当にお金と人材をつぎ込んでいるとは思えない」と、Maiffretは語った。
パッチの欠陥を発見した研究者が「単なる見落とし」と表現するこの事件が起こった理由の1つとして、Microsoft社内に適切なスキルを持ったセキュリティ専門エンジニアがいないことが挙げられると、Maiffretは説明。「適切な人材を社内に擁することで、多くのことは解決できる。Microsoftは有能な社員を雇っているが、それだけでは十分でないことは明らかだ」(Maiffret)。
今回のセキュリティ問題を最初に公表したのはmalware.comだが、Microsoftが公表前にこの情報を知らされていたかどうかは疑わしいとMaiffretは考えている。「malware.comが発見し、情報を公開した・・・彼らがその情報をMicrosoftに知らせたかどうか、確信は持てない。この方法が通常は最善なのだが」とMaiffret。
この問題について心配なユーザーは、Microsoftが新しいパッチを提供するまで、ブラウザのアクティブスクリプト機能を無効にすれば、脆弱性は軽減される。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」