セキュリティの専門家によると、Internet Explorerのなかに発見された重要な脆弱性を修正するために、米Microsoftがリリースしたパッチが、実は機能しないという。
「ObjectのType」に関する脆弱性は、約4カ月前にeEye Digital Security(eEye)が発見したもので、これに対するパッチは8月20日にリリースされた。その後、このパッチが、環境によってはデフォルトではないOSインストールに対して問題を引き起こす可能性があると分かったため、8月28日に累積パッチが再度リリースされた。そして現在、この累積パッチが修正するはずの脆弱性を修正しないことが判明したため、またもやパッチが再リリースされることになりそうだ。
この脆弱性を悪用すると、ユーザーがIEを利用してウェブページを閲覧した際に、悪意あるコードを呼び出して実行してしまうような悪意のあるHTMLファイルがつくれてしまう。
米国にいるeEyeの「チーフハッキングオフィサー」、Marc Maiffretは、ZDNet Australiaの電話取材に答え、この脆弱性は簡単に悪用できてしまうことから、特に重要度が高いと述べた。「悪用するのがとても簡単だから、かなり深刻といえる。バッファオーバーフローを悪用したり、それに似たものを作成するようなスキルがなくても、利用できる脆弱性だ」と、Maiffretは指摘した。
同氏は、Microsoftは最初に脆弱性が判明したときに適切なパッチを作成すべきだったと言う。「こんなに簡単なものを修正するパッチの作成に4カ月もかかった上に、しかもそのパッチが適切に動作しないなんて、どういうことだろう? Microsoftはセキュリティ問題に真剣に取り組んでいるようだ。(しかし)同時に、セキュリティ問題の改善に本当にお金と人材をつぎ込んでいるとは思えない」と、Maiffretは語った。
パッチの欠陥を発見した研究者が「単なる見落とし」と表現するこの事件が起こった理由の1つとして、Microsoft社内に適切なスキルを持ったセキュリティ専門エンジニアがいないことが挙げられると、Maiffretは説明。「適切な人材を社内に擁することで、多くのことは解決できる。Microsoftは有能な社員を雇っているが、それだけでは十分でないことは明らかだ」(Maiffret)。
今回のセキュリティ問題を最初に公表したのはmalware.comだが、Microsoftが公表前にこの情報を知らされていたかどうかは疑わしいとMaiffretは考えている。「malware.comが発見し、情報を公開した・・・彼らがその情報をMicrosoftに知らせたかどうか、確信は持てない。この方法が通常は最善なのだが」とMaiffret。
この問題について心配なユーザーは、Microsoftが新しいパッチを提供するまで、ブラウザのアクティブスクリプト機能を無効にすれば、脆弱性は軽減される。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
「Android」スマホのホーム画面を手軽に効率化する5つの方法 .jpeg)
存在しないはずの「ターミナル0」が羽田に出現、なぜ?--異業種連携で「未来の空港」を研究開発へ 
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル