Microsoftは6月4日(米国時間)、発売後まだ2カ月も経っていない最新サーバ用オペレーティングシステム(OS)Windows Server 2003に、初のセキュリティパッチをリリースした。悪質な仕掛けのあるウェブサイトを閲覧すると、サーバー上で破壊的なコードが実行される可能性がある、との脆弱性を修正するもの。
セキュリティ専門家は--Microsoft社内のセキュリティ専門家でさえ--、Windows Server 2003を、同社のTrustworthy Computing計画をテストする初めての製品と捉えていた。ただし同社では、今回のパッチ発行が、同社のセキュリティ計画の失敗を意味するものではない、と主張している。
「パッチ発行は、実際にTrustworthy Computingが前向きに進んでいる証」と、Microsoftの英国セキュリティ主任Stuart Okinは述べ、Server 2003はそれ以前のWindowsバージョンに比べ、大幅にセキュリティが強化されていると説明した。
今回の脆弱性は、Server 2003の初期設定では無効になっているサービスを利用するものであるため、同OSへの影響はそれほど大きくない、とOkinは説明している。旧式のWindowsバージョンでは、このサービスが初期設定で有効になっており、攻撃に利用されてしまう。Microsoftはすでに、旧バージョンのWindowsでこのサービスを無効化するツールを提供しているが、このツールは広く適用されているわけではない。
Windows Server 2003は、Microsoftがセキュリティを重視し、コードが全て安全であることを確認する方針を広く強調してから、初めて発売された主要Windowsバージョンだ。同OSは、セキュリティと信頼性の向上などを理由に、発売が3度も延期された。そのため同OSは、Microsoftが本当に十分安全な製品を製作し、いままでの同社OSの欠点だった大量のセキュリティ欠陥や脆弱性を断ち切れるのかどうかの試金石とされていた。
今回の脆弱性はInternet Explorer 6(IE6)に関するもので、Windows Server 2003に同梱されているIE6のほか、その他のWindowバージョン用IE6にも影響がある。この脆弱性は、Microsoftが4日リリースした累積的修正プログラムで修正できる。Microsoftの脆弱性深刻度評価システムによると、このパッチの深刻度はServer 2003以外のOSでは「緊急」だが、Server 2003では2段階下の「警告」となっている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス