再び先を越されたマイクロソフト--2週間で2度目のサードパーティーパッチ

　攻撃が増加しているWindowsの脆弱性に対して、セキュリティ専門家グループがサードパーティーパッチを公開した。同グループがパッチを公開したのはこの2週間で2度目となる。

　Zeroday Emergency Response Team（ZERT）は、Microsoftがアップデートを公開するまでWindows PCを保護できるよう、パッチを作成したことを明らかにした。これによりユーザーは、Microsoftが先週より警告を発してきた脆弱性に対してサードパーティーによるパッチという選択肢を得たことになる。セキュリティ企業Determinaも米国時間9月29日、同じ脆弱性に対応するためのパッチを公開した。

　同脆弱性はWindows 2000、Windows XP、Windows Server 2003に影響し、WebViewFolderIcon ActiveXコントロールを介して、ウェブブラウザ「Internet Explorer（IE）」使用時に悪用される可能性がある、とMicrosoftは28日にセキュリティ勧告で述べた。

　セキュリティ専門家らは30日、同脆弱性を悪用したウェブサイトが出現し、気づかれないように悪意のあるソフトウェアを脆弱なWindows PCにインストールしていると明らかにした。

　ZERTがMicrosoftより先にパッチを公開したのはこの2週間で2度目である。およそ10日前、同グループは、「vgx.dll」と呼ばれるWindowsコンポーネントの脆弱性を修正するパッチを作成した。vgx.dllはVector Markup Language（VML）グラフィックスをOSでサポートするためのコンポーネントである。

　サードパーティーパッチには警告の言葉がつきものであり、Microsoftではその利用を決して推奨していない。ZERTではパッチをテストしているが、作成時にMicrosoftと同等のリソースを使っているわけではない、と述べる。ZERTではパッチのソースコードを提供し、利用者側での認証を可能にしている。

　今回のWindows Shellに関する脆弱性は、約2カ月前にHD Moore氏の「今月のブラウザバグ」として発見されていた。しかし、最近になるまでサンプルの攻撃コードは出現していなかった。

　Microsoftは、同問題に対するパッチを月例パッチとして米国時間10月10日に公開する計画だと述べている。しかし、攻撃が増加したことから、公開が早まる可能性がある。同社は9月26日、VML脆弱性のパッチを前倒しで公開している。