IE修正用の暫定セキュリティパッチ、サードパーティが先に公開 - (page 2)

文:Joris Evers(CNET News.com)
翻訳校正:尾本香里(編集部)
2006年03月28日 13時16分

 Microsoftがサードパーティによるセキュリティフィックスの公開に見舞われたのは、2006年に入ってから今回が3回目である。1月には、WindowsでのWindows Meta Fileイメージのレンダリングに関する脆弱性を修復するパッチがサードパーティによって公開され、3月には、セキュリティ企業2社が、IEにおけるウェブページ中のタグの扱い方に関連したバグを修復した。

 ZERTはボランティアで参加する世界中のセキュリティ専門家からなる。Abrams氏によるとZERTのパッチは、Windows 2000、Windows XP、Windows Server 2003向けに用意され、大部分をLURHQのJoe Stewart氏、イスラエル人のリバースエンジニアリング専門家Gil Dabah氏、脆弱性研究家のMichael Hale Ligh氏という3人の専門家が担当しており、作成に要した時間は19時間であったという。

サードパーティパッチのリスク

 ZERTは、サードパーティパッチには警告の言葉がつきものだと指摘している。Abrams氏は「Microsoftが自社のパッチに行うのと同等の、詳細なテストはなされないため、サードパーティパッチにはリスクがある」と述べた。ZERTはパッチのソースコードを提供して、パッチが何を行うのかユーザーが検証できるようにしている。

 ZERTはウェブサイトで、パッチが無保証であることを強調している。サイトには「ZERTはパッチのテストを行うが、ZERTのパッチはメーカーサポートのある正式パッチではなく、ユーザーの環境に適するという一切の保証なしに、現状のままで提供される。自己責任でパッチを利用するか、メーカーサポートのあるパッチを待つこと」という記述がある。ZERTでは、Microsoftによるアップデートが公開されたら、パッチをサイトから削除する予定だと述べている。

 ZERTのパッチは、個人ユーザーや小規模企業向けとしてはうまく機能するかもしれないと、iDefenseのDunham氏は言う。同氏は「パッチの適用に際し、小規模企業の多くは機敏に対応するが、規模の大きな企業ではためらいも大きい。サードパーティパッチは、責任関係やコスト評価が複雑になり、適用が見送られることがある」と述べた。

 動作テストの問題に加えて、サードパーティパッチがセキュリティの脆弱性をもたらすこともあると、Dunham氏は指摘する。Microsoftはウェブサイトで、サードパーティパッチを必要としない回避策をいくつか紹介している。同氏は回避策の利用を勧めるとともに、10月10日の定期アップデートの前に、Microsoftが前倒しでパッチを公開することを期待していると付け加えた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]