セキュリティ専門家グループ、サポート対象外のWindowsパッチを発表

　セキュリティの専門家グループは、Microsoftがセキュリティパッチを提供しなくなった古いバージョンのWindows用に、深刻なセキュリティホールを修正するパッチをリリースした。

　Zeroday Emergency Response Team（ZERT）と名乗るグループが作ったパッチは、先ごろ発見され、悪用例の増えているWindowsのセキュリティホールをふさぐもので、正式なサポートが終了したバージョンのWindowsのユーザーが、自分のPCを保護できるようにするためのものだ。

　先ごろ明らかになった問題の脆弱性は、「vgx.dll」と呼ばれるWindowsのコンポーネントに存在する。このコンポーネントは、オペレーティングシステム（OS）の中でVector Markup Language（VML）によるグラフィックス処理を扱う。これは、ユーザーが悪質なウェブサイト上のリンクをクリックしたり、電子メールメッセージを開いたりすると、知らないうちに脆弱なWindows PCでマルウェアが実行されるというものだ。

　Microsoftは米国時間9月26日、この問題に関する「緊急」レベルのセキュリティパッチを、同社が予定しているパッチリリースのサイクルより2週間早く発表している。Microsoftがパッチを提供しているWindowsのバージョンは、「Windows 2000 Service Pack 4」「Windows XP Service Pack 1」以降、「Windows XP Professional x64 Edition」「Windows Server 2003」。

　Microsoftは古いバージョンのOSについては、もはやパッチを提供していない。ZERTが提供するパッチは、このすき間を埋めようとするもの。ZERTのウェブサイトには、「ZERTが提供するパッチは（Microsoftによる）サポートが終了したバージョンのシステム向けだ」とある。ZERTはこのパッチが、「Windows 98」「Windows 98 Second Edition」「Windows Millennium Edition（Windows Me）」「Windows 2000」「Windows 2000 Service Pack 3」で検証済みだとしている。

　ZERTは、ボランティアとして時間を割ける世界中からのセキュリティ専門家で構成されている。先週、ZERTはMicrosoftの修正よりも早くVMLに関するセキュリティホールに対処するパッチを作成し、Microsoftが正式パッチに取り組んでいる間、IEユーザーが自分のPCを保護できるようにした。

　一方で、まだパッチが出ていないMicrosoft製品のセキュリティ上の脆弱性もいくつか見つかっている。これらのセキュリティホールはすでに攻撃の対象になっているが、セキュリティ専門家によれば、VMLに関する脆弱性を利用するものほど広まってはいないという。

　ZERTは同グループのウェブサイトで、このパッチが無保証であることを強調している。