先ごろInternet Explorer(IE)に見つかったIFrameの脆弱性を悪用するMyDoomの最新亜種は、Microsoftの月例パッチリリースを混乱させるためにタイミングを計って公開された可能性があると、セキュリティ専門家らが述べている。
Microsoftは9日(米国時間)に最新の月例アップデートをリリースした。しかし、IEブラウザに存在するある深刻な脆弱性は、このアップデート公開のわずか数日前に見つかったばかりで、修正用のパッチは提供されなかった。さらに悪いことに、この脆弱性を悪用するワームが8日にリリースされ、Microsoftは--少なくとも今のところは--この問題を黙ってみている以外にない状態だ。
Sophos AustraliaのSean Richmond(シニア・テクノロジーコンサルタント)は、ZDNet Australiaに対し、Microsoftが信頼できるパッチを--脆弱性が明らかになってから9日のパッチアップデートまでの--4日間で作成/テストすることは不可能だっただろう、と述べている。
「Microsoftはパッチを公開する前に徹底的にテストしたいと考えているので、安定したパッチを(それだけの短時間で)リリースするのは不可能だっただろう。月1回のパッチ公開は、システム管理者がアップデートの予定を組みやすくするためのものだ。しかしわずか数日では、Microsoftがパッチを作成してテストすることは難しい」(Richmond)
Microsoft AustraliaのBen English(セキュリティチームリーダー)は、ZDNet Australiaに対し、Microsoftは責任ある情報公開手続きを踏むことを提唱しており、一般に知られる前にあらゆる脆弱性を見つけたいと考えていると述べた。
「理由は至って明白だ。我々は、脆弱性の緩和方法が準備できるまで、その脆弱性の情報を公開することはしない。我々にとって最悪のシナリオとは、品質に問題のあるアップデートをリリースすることだ。パッチのリリースを急ぎすぎることで生じる問題は、本来あるべき品質に満たないことよりもさらに深刻だ」(English)
ワームと脆弱性発覚が悪質な意図的タイミングでなされたとMicrosoftが考えているかどうかについて、Englishはコメントしなかった。しかしこの問題が重大とされれば、同社は月に1度のタイミングにこだわらずにパッチをリリースして、この脆弱性を修正すると同氏は述べた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス