Outlook 2002の欠陥は「緊急」だった--MSが深刻度評価を引き上げ

　Microsoftは、Outlookに見つかった欠陥の深刻度を、最高レベルの「緊急」に引き上げた。このセキュリティホールを発見した研究者が、同社が当初行なった分析結果に異議を唱えたことを受け、同社はこの引き上げを行った。

　このOutlook 2002の脆弱性は9日（米国時間）、Microsoftの月例パッチリリースの際に初めて公表された。攻撃者がこの欠陥を悪用すると、悪質なウェブサイトから脆弱性のあるパソコンにプログラムをダウンロードし、実行することができてしまうという。

　Microsoftはこの脆弱性の修正パッチをリリースした際、ユーザーがOutlook 2002のデフォルトのホームページに「Outlook Today」フォルダを指定していなければ、攻撃されることはないと述べていた。しかしこの欠陥を発見したフィンランドのセキュリティ研究者、Jouko Pynonnenからの警告を受け、現在では攻撃の可能性はさらに高いとしている。

　「セキュリティ情報をリリースした後で、（Outlook Todayの制約が）攻撃者に迂回され得ることがわかった」とMicrosoft Security Response Centerのプログラムマネージャー、Stephen Toulouseは述べている。このセキュリティホールは当初考えられていたものよりも重大なものだが、9日に顧客向けにリリースされたパッチはどの攻撃でも防げるものだとToulouseは強調している。

　Microsoftがセキュリティ関連の脆弱性について深刻度を引き上げたのは、過去18カ月間で今回が3度め。同社は2002年12月、脆弱性を発見した研究者がMicrosoftの当初の評価に異議を唱えたことから、2つの「警告」レベル（4段階の下から2番目）の脆弱性を「緊急」に引き上げたことがある。

　Pynonnenによると、Microsoftは同氏に対し、パッチの公開予定日も、また脆弱性の深刻度をどう評価しているかについても通知しなかったという。

　Pynonnenは「この問題が今月公開されるとは知らなかった」という。同氏は、もしこの脆弱性が公開されることを知っていたら、Microsoftが前提としていた（深刻さを）緩和する要素についてもっと調査を行っていただろうと述べている。

　Pynonnenは10日、この脆弱性は、攻撃者がOutlook 2002ユーザーへ送った電子メール経由でウイルスを広めることに悪用される可能性があると警告した。

　Microsoftは、修正パッチの作成についてスピードよりも品質を重視しており、この脆弱性に対応するパッチの作成には7カ月以上もかけている。Microsoftに対し、パッチ作成のスピードを上げるべきだとする批判的な意見もあるが、同社では欠陥の全容を解明し、パッチの問題を取り除くことを重視しているとMicrosoftのToulouseは説明している。

　なお、このパッチはWindows Updateの機能を使って自動的にダウンロードできる。