MS、「Windows Media Player」の脆弱性を指摘するレポートを否定

　Microsoftは米国時間12月29日、「Windows Media Player」にリモートからコードを実行できる脆弱性が存在するというレポートを非難した。

　Microsoftは同社のブログの中で、12月24日にインターネット上で公開されたこのレポートを調査し、その内容が「誤り」だと判明したと述べた。同社はまた、この脆弱性は「信頼性に関する問題であり、ユーザーにセキュリティ上のリスクを及ぼさない」ものだと、Security Vulnerability Research & Defenseという別のブログで説明している。

　この調査のきっかけは、セキュリティ研究者のLaurent Gaffie氏が12月24日にBugTraqというセキュリティ関連のメーリングリストで、Windows Media Playerのバージョン9、10、および11に脆弱性が存在すると発表したことだ。Gaffie氏はその中で、この脆弱性を利用すれば、ハッカーが不正な形式の「WAV」「SND」「MIDI」ファイルを作成して、「Windows Vista」や「Windows XP」を実行しているPCを危険にさらすことが可能になると述べ、リモートからコードを実行できるとする概念実証コードを提示した。

　Microsoftは、このGaffie氏の主張を否定するとともに、Gaffie氏が同社に連絡することなく主張を公開したとして、次のように非難した。

　このセキュリティ研究者は、最初のレポートを作成したときにわれわれに連絡を取ったり直接働きかけたりしなかったばかりか、そのレポートを概念実証コード付きで公のメーリングリストに掲載した。このレポートの公開後、他のいくつかの組織がこのレポートを取り上げ、この問題はWindows Media Playerにコードを実行される脆弱性があることだと主張した。だが、こうした主張は誤りであり、この問題でコードが実行される可能性はないことがわかっている。たしかに、この概念実証コードはWindows Media Playerのクラッシュを引き起こすが、Windows Media Playerはすぐに再起動することができ、システムの他の部分に影響が及ぶことはない。

　Microsoftによれば、この問題は定期的なコードメンテナンスの際にすでに発見され、「Windows Server 2003 Service Pack 2」で修正されているという。