Microsoftはつい最近、Internet Explorer(IE)ブラウザのパッチをリリースしたばかりだが、しかしオンライン犯罪者がウェブユーザーのコンピュータ上で悪質なプログラムを実行できる別の方法がコンピュータ科学者の手で発見されたことから、Microsoftのこのパッチの欠点が浮き彫りにされることになった。
Microsoftは2日(米国時間)、IEのなかに存在する3つの欠陥のうち、1つからコンピュータを保護する修正パッチをリリースした。この3つの欠陥は、同時に悪用されるとブラウザ経由でPCのセキュリティ機能をすり抜けられてしまう、というものだ。しかし、あるセキュリティ研究者は先週末、同様のことに悪用される可能性があり、まだMicrosoftがパッチをリリースしていない別の欠陥を発見した。
「Microsoftは問題の一部分にしか対処しなかった。彼らは、こういうことが起こるのを想定すべきだった」と、オランダのコンピュータ科学専攻の学生で、このセキュリティ迂回方法のコードを公開したJelmer Kuperusは述べている。
研究者がIEのセキュリティ問題を公表し、Microsoftがその対応に追われることになったのは、この1カ月でこれが3度目だ。Kuperusは6月始めに、それまで知られていなかった2つの脆弱性と、最近パッチがリリースされた脆弱性とを合わせて悪用し、被害者のコンピュータにアドウェアをインストールするウェブサイトを発見した。さらにセキュリティ研究者らは先週、Microsoftが初期のIEバージョンでは修正済みだった危険度の低い脆弱性が、最新バージョンのブラウザに再び存在していることを発見していた。
Microsoftは今回の問題を認め、さらに別の修正パッチをまもなくリリースすると述べている。
「わが社は現在、数週間中にInternet Explorerの一連のセキュリティアップデートを提供するために動いている。このセキュリティアップデートは、顧客の保護を強化するためのものだ」と同社の関係者はCNET News.comに対して語った。
最も最近発見された欠陥は新しいものではなく、セキュリティ研究者らが最初にこの問題を検討したのは今年の1月だった、とKuperusは言う。これは当初、あまり深刻なものとは考えられていなかった。だが、6月はじめに見つかった他の2つの欠陥と合わせて悪用されると、重大な問題を引き起こすことが分かった。つまり、この3つの欠陥が合わせて悪用し、IEが動いているWindowsコンピュータに簡単にアクセスできてしまうのだ。
「現在見つかっている攻撃例の大半は複数の脆弱性を悪用したもので、1つひとつの脆弱性がIEの特定のセキュリティ機能の迂回に使われている。これらの脆弱性は、単独ではかなり無害なものが多いが、組み合わされると重大な危険性をもつ」(Kuperus)
パッチがリリースされた欠陥も、新たに見つかった脆弱性も、いずれもActiveXというコンポーネントとスクリプト機能のライブラリの中に存在する。最初の脆弱性はADODB.Streamにあったが、最新の脆弱性はApplication.Shellコンポーネントに存在する。
Microsoftではユーザーに対し、同社ウェブサイトの「Protect Your PC」で最新情報を入手することを薦めている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」