Microsoftは、Windows以外のアプリケーションの動作を阻害するおそれがあるため、「Windows 98」および「Windows Millennium Edition(ME)」に存在している深刻な脆弱性を修復するパッチはリリースしない方針だ。
このセキュリティバグは「Windows Explorer」に関係するもので、侵入者が脆弱なPCの乗っ取りに悪用する可能性があることが、2006年4月に明らかになっていた。Microsoftは、「Windows Server 2003」「Windows XP」「Windows 2000」に関してはパッチを提供しているが、Windows 98およびMEから同脆弱性を削除するのは「不可能」だとしている。
同社が米国時間6月8日に発表したセキュリティ情報「MS06-015」には、この脆弱性を修正するには、Windows 98およびMEの重要かつ中核的なコンポーネントを多数リエンジニアリングする必要があり、こうしたリエンジニアリングを行った場合、同プラットフォーム上で動作するよう作られたアプリケーションがこれまでと変わらず機能する保証は得られないことが記されていた。
Microsoftは、これらの古いOSを今も使用しているユーザーに、ネットワークファイアウォールを用いてTCPポート139に対するトラフィックをフィルタリングし、パッチに代わるPC保護対策とするよう推奨している。「こうしたファイアウォールを利用すれば、攻撃者がファイアウォールの外部から同脆弱性を悪用しようとするのを防ぐことができる」と、同社は述べている。
パッチ関係のトラブルは、Windows XPでも発生したことがある。以前リリースした同OS向けのパッチが、Hewlett-Packardの「Share-to-Web」ソフトウェアやNvidia製の古いグラフィックドライバを搭載しているユーザーマシンに問題を起こしたので、このときはパッチの修正と再提供が行われた。
Microsoftは、Windows 98およびMEのサポートを順次停止していく予定だ。Windows 98は1998年6月にリリースされ、「Second Edition」がその翌年に発表されている。また、MEは2000年に販売が開始された。ここ数年は、同製品の修正パッチの提供は「緊急」レベルの脆弱性に限られており、7月11日に予定されているリリースを最後に、アップデートは完全に廃止される。なお、「Windows XP with Service Pack 1」のサポートも2006年10月10日に終了となる。
パッチが提供されなければユーザーは危険にさらされることになるが、ソフトウェアのサポートを永遠に続けるのは不可能だと、VeriSign傘下のセキュリティインテリジェンス企業iDefenseで、ディレクターを務めるMichael Sutton氏は言う。「どのベンダーでもある時点に来れば、製品サポートを中止する選択を迫られる。Microsoftの両製品はすでに発表から7〜8年経過しているので、こうした決定もやむを得ない」(Sutton氏)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」