オープンソースソフトウェア開発サイトのOpenwares.orgは、米MicrosoftのInternert Explorerブラウザにある「緊急」レベルの脆弱性を修正するパッチを公開した。しかし、ソフトウェア開発者やアナリストらは、このパッチをインストールしないようアドバイスしている。
問題の脆弱性は、IEがアドレスバーにあるURLを表示しながら、実際には別のページを表示してしまうというもの。ユーザーはこの脆弱性により、ウェブ偽装詐欺などの罠にかかりやすくなってしまう。たとえば、オンラインバンキングのユーザーには、自分の使う銀行から送られてきたように見せかけた偽の電子メールが届き、リンクをクリックして銀行のウェブサイトを開き、セキュリティアクセス情報を「確認」するよう求められるかもしれない。単純な偽装詐欺なら、Internet Explorerのアドレスバーに銀行のURLとは異なるURLが表示されるのですぐに分かるが、手の込んだ詐欺の場合、問題のIEの脆弱性を悪用することがあるので騙されやすくなってしまう。
Microsoftはこの脆弱性のパッチをまだリリースしていない。ユーザーはこのオープンソースのパッチをついダウンロードしたくなるだろうが、アナリストらはダウンロードしないよう警告している。Ovumの主任アナリスト、Graham Titteringtonはこのパッチに懐疑的で、Openwares.orgのパッチは機能するかもしれないが、今後のMicrosoftのアップデートとの動作問題を引き起こす可能性があるとして、Microsoftが公式パッチをリリースするまで待つようアドバイスしている。「Microsoftは自社のソフトウェアであるIEのソースコードにアクセスできるけれど、Openwares.orgはできない。たとえこれがきちんと機能する本物のパッチであっても、今後リリースされるMicrosoftのパッチと互換性があるかどうか全く分からない」(Titterington)
Openwares.orgによると、このパッチは15日(米国時間)に公開されてから約1000回ダウンロードされたという。同サイトは、読者が書いて投稿したソフトウェアを公開しているが、開発者ディスカッショングループでは、このパッチ作者の動機に対して懸念が広がっている。このパッチはURLをパッチ作者のサーバに転送するため、このパッチ自体がプライバシーに対する脅威になっている可能性がある、と一部の開発者らは警戒している。
それに対して、このパッチを勧める者たちは、転送されるのは疑わしいURLだけであり、パッチが動作するためにはURLを転送する必要があるのだ、と述べている。またコントリビュータのなかには、Microsoftがこの脆弱性の存在を認めてから2週間近く経つのに、まだ独自のパッチをリリースしていないことから、このパッチを歓迎する向きもある。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」