Microsoft以外の企業が「Internet Explorer」の深刻な脆弱性を修復するサードパーティ製パッチをリリースしたが、セキュリティ専門家はMicrosoftのものではないパッチは慎重に扱うようユーザーに呼びかけている。
侵入検知製品を提供しているDeterminaは米国時間3月27日、Microsoftのウェブブラウザ用の非公式パッチを公開した。その直前には、eEye Digital Securityも独自の暫定パッチを発表していた。
どちらのパッチも、最近明らかになったIEの脆弱性を悪用する攻撃から、Windows PCを守るためのものだ。この脆弱性に対するMicrosoftの修復パッチは、まだ提供されていない。Microsoftは両社のパッチについて、規則として外部の修復プログラムをインストールすることは推奨していないと述べ、どちらも承認しなかった。
第三者がMicrosoftに先んじてセキュリティパッチをリリースするのは、2006年はこれが2度目となる。前回は、ヨーロッパの研究者が発表したパッチをセキュリティ専門家も支持していた。ところが今回は、専門家らは非公式なパッチの適用は勧められないと話している。
ユーザーは Microsoftの指示に従い、IEの「Active Scripting」機能を無効にするか、他社のウェブブラウザを使用するかして、一時的な対策を取るべきだというのが、専門家らの考えだ。
SANS InstituteのチーフリサーチオフィサーJohannes Ullrich氏は、「現時点では、これらの暫定パッチを適用することは推奨していない」と述べ、IEのActive Scripting機能を利用する必要がある場合にのみ、非公式ソリューションの採用を検討すればよいと話している。
問題の脆弱性は、IEがウェブページ内の「createTextRange()」というタグを処理する方法と関係するものだ。同脆弱性が公表されたのは先週だが、それ以降、この脆弱性を悪用するウェブサイトが200件以上も発見されたという。こうしたサイトは通常、スパイウェアやリモートコントロールソフトウェア、トロイの木馬などを脆弱なPCにインストールすると、セキュリティ企業Websenseは述べている。
ドイツのマグデブルク大学に所属するウイルス対策ソフトウェアの専門家Andreas Marx氏は、今回のIEのセキュリティ問題がおよぼす影響は深刻だが、やはりサードパーティのパッチは必要ないという考えを持っている。「個人的には、このパッチを適用するつもりはない。IEを使わなければ危険はないわけだし、IEを使う場合でも、Active Scriptingを無効にすればよいのだから」(Marx氏)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力