セキュリティ対策を専門とするGeCad Net(本社:ルーマニア、ブカレスト)によると、Microsoftが先にリリースしたWindows用の最新パッチに問題が見つかったという。
同社は、Microsoftが今月公開したMS05-001という「緊急レベル」のパッチでは、WindowsにあるHTML Help ActiveXコントロール関連のセキュリティ問題が完全には解決しないことを明らかにした。Microsoftは、この問題の影響を受けるコンピュータに攻撃者がスパイウェアなどの悪質なプログラムを挿入し、これを実行する危険性に対処するために、他のセキュリティアップデートとともに、このパッチを配布していた。
このパッチは、HTML Help ActiveXコントロールの脆弱性の悪用につながる、いわゆるアタックベクトル(短所)の少なくとも1つに対応していない、とGeCadは述べている。同社は、2003年に自社のウイルス対策ソフトウェア部門をMicrosoftに売却している。
Microsoft関係者は米国時間24日、同社がGeCadから報告のあったセキュリティホールの修正作業にすでに着手していると述べ、また当初報告された問題は1月のパッチで修正されている点を強調した。
「HTMLのヘルプコントロールに関するWindowsの脆弱性については、対応するアップデートを公開しており、当初公表された脆弱性もこのアップデートが対処する」(Microsoft関係者)
Microsoftはさらに、同社がこのパッチで潜在的なセキュリティホールを見落としたとの見方を否定し、この問題はHTML Helpコントロールに新たに見つかった欠陥であり、先のアップデートでは対応しなかったものだ、と述べている。
「Microsoftは、今回公表されたセキュリティホールを、すでに対処したものとは異なる脆弱性だと認識している。この脆弱性を悪用すると、HTML Helpコントロールを使ってユーザーのコンピュータ上でコードを実行できてしまう」(Microsoft関係者)
Microsoftは、この修正パッチが2月の月例リリースよりも前に公開されるかどうかについては言及しなかった。
GeCadは今のところ、「セキュリティ上の理由」からこの攻撃手法に関する技術的な詳細は明らかにしない方針だとしている。Microsoftは過去に、同社がパッチを用意する前に欠陥に関する情報を明らかにしたセキュリティ研究者らと衝突したことがある。
GeCadによると、コンピュータが最新のセキュリティパッチや、Windows XP Service Pack 1もしくはWindows 2000 Service Pack 4でアップデートされている場合に、この攻撃を受ける可能性があるという。同社はまた、MicrosoftのWindows XP Service Pack 2でアップデートすると問題を回避できるようだとしている。
Microsoftは2003年にGeCad Softwareを買収したが、このウイルス対策ソフトウェア開発事業を売却したGeCadでは、その後セキュリティ関連の研究およびコンサルティングビジネスを続けている。Microsoftは今年中に独自のウイルス対策ソフトウェアをリリースすると見られている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス