パッチに欠陥--IE用のオープンソース非公式パッチ、訂正版を再配布

　米MicrosoftのInternet Explorer（IE）のセキュリティホールを修正するサードパーティ製パッチに欠陥が見つかり、このパッチを公開したウェブサイトが訂正版を再度公開することになった。

　Openwares.orgは、最初のパッチにバッファオーバーフローの問題が見つかったため、20日（米国時間）に2つ目のパッチを公開した。見つかった問題は、攻撃者がこのパッチをあてたパソコンを乗っ取れるというもので、パッチが本来修正する目的の欠陥よりもはるかに被害が大きくなる恐れがある。

　Openwaresによると、最初のパッチをダウンロードしたのは約6500人だけだという。先週ZDNetが取材したセキュリティ専門家は、パッチの信頼性の問題はともかく、パッチ作者がIEのソースコードを見られたはずはなく、このパッチがMicrosoftの今後のアップデートと干渉する恐れがあるため、パッチをインストールしないようとの警告を発していた。

　問題のIEの脆弱性は、IEがアドレスバーにあるURLを表示しながら、実際には別のページを表示してしまうというもので、11月末に初めて報告されたもの。ユーザーはこの脆弱性により、正当な企業のウェブサイトに見せかけた偽サイトに、インチキ電子メールを使ってユーザーを仕向ける、ウェブ偽装詐欺などの罠にかかりやすくなってしまう。Openwaresの最初のパッチは、疑わしい文字が含まれるURLを遮断するというものだが、256バイト以下のアドレスでしか機能せず、長いアドレスではバッファオーバーフローが生じてしまう問題があった。

　Openwaresサイトの管理者は、「新バージョンは書き直されて、数十人のユーザーがテストしたものになっている。信用できないならば、新しいソースコードを自分の目で確かめてほしい」と述べている。

　22日早朝の時点で、新パッチは2500回ダウンロードされていた。しかしこの数は、インターネット人口の90％以上を構成しているIEユーザーの総数からみれば、極々わずかだ。

　Microsoftは、IEのこの欠陥を修正するパッチをまだリリースしておらず、リリース時期も明らかにしていない。同社は今年10月に、パッチのリリースを月1回だけとするポリシーを採用したが、すでに12月のリリースをスキップすると発表しており、IEは少なくとも来年1月半ばまで、この脆弱性をはらんだままとなる見込みだ。