IEとOutlookに新たな脆弱性--バッファオーバーフローのおそれ

　セキュリティ対策企業のeEye Digital Securityによると、MicrosoftのInternet Explorer、Outlook、およびOutlook Expressにセキュリティ上の脆弱性が見つかったという。

　eEyeのMike Puterbaugh（製品マーケティング担当シニアディレクター）によると、この脆弱性により、これらのアプリケーションではバッファオーバーフローが発生し、攻撃者がリモートからユーザーのシステムを乗っ取れるようになるおそれがあるという。

　先週後半にこの問題を発表したeEyeは、Service Pack 0／1を適用済みのWindows XPと、Windows 2000に影響があり、ほかのバージョンのOSにも影響がおよぶ可能性があるとしている。

　Microsoftの関係者によると、この脆弱性に関連した攻撃やその影響を受けた顧客についての報告は届いていないという。

　今回明らかになったIEの脆弱性は、先月Microsoftが累積アップデートをリリースして以来、セキュリティ研究者らが発見した複数の脆弱性の1つに過ぎないと、Puterbaughは述べている。この数週間で報告されたもののなかには、Windows XP Service Pack 2に搭載されるバージョン6の脆弱性や、Microsoft DDS Library Shape Controlファイルに関連するものなどがある。

　「MicrosoftがIE用の新しい累積アップデートを近々リリースしても不思議ではない」（Puterbaugh）

　eEyeはすでに今回の脆弱性の詳細をMicrosoftに伝えているものの、ベンダーが対応パッチを用意するか勧告を出すまで、同社は一般に対して詳細を公表していないことにしている。

　「Microsoftはこれらの報告について積極的に調査を進めている。この調査が完了すれば、Microsoftはわれわれの顧客を守る適切な対策を講じるだろう」（eEye関係者）

　eEyeは現在、ベンダー各社がパッチや回避策を公開した時点で公表できるよう、12件の脆弱性に関する勧告を準備しており、そのうち9件がMicrosoft関連となっているという。