「OSベンダー各社の対応は遅すぎ」--インテルチップの脆弱性で研究者が非難

Renai LeMay(ZDNet Australia)2005年05月30日 09時57分

 オペレーティングシステム(OS)ベンダーのなかには、セキュリティ上の欠陥が公開される2カ月前に通知を受けながら、いまだにその問題を解決していないところがあると、あるセキュリティ研究者が主張している。

 Colin Percivalは5月13日に行われたあるカンファレンスで、ハイパースレッディング技術を搭載したIntelのCPUに影響を与える脆弱性について、その詳細を発表した。

 この脆弱性を悪用すると、複数のユーザーが同時にログインできる設定のサーバから、パスワードなどの機密情報を盗み出せてしまう。

 FreeBSDのセキュリティチームのメンバーであるPercivalは、BSD関連のOSメーカーのほか、SCOやUbontu Linuxなどから、この問題に対する公式な回答を受け取った。しかし、LinuxベンダーのRed HatやNovell、Mandrivaらは対応が遅く、Microsoftも同様だとPercivalは述べている。

 「私がこの問題を3月のはじめに報告したことを考えると、各社はパッチを1カ月前に--この問題が5月13日に公開される前にパッチを十分テストできるように--完成させておくべきだった」(Percival)

 「私はその日に自分の論文を発表すること、そして彼らがそれまでに必ず(パッチを)準備すべきだということを各社にはっきりと示していた」ともPercivalは述べている。

 Red Hatの関係者によると、同社のセキュリティチームはこの問題の影響度を「中程度」と評価しており、この脆弱性の悪用に利用されるOpenSSLツールキットの製作者と現在パッチ作成に取り組んでいるという。

 Microsoftは現在Percivalの報告を調査中だが、現時点でこの方法を使った実際の攻撃事例は把握しておらず、同社の調査が完了するまでは行動を控えるつもりだと、同社関係者は述べている。

 またNovellの関係者は「われわれはこの問題を把握しており、現在この問題について調査を進めている」と述べている。

 Percivalは、Intelの反応も問題だとしている。同社はこの脆弱性の危険性を「非常に低い」としている。

 「Intelは(この欠陥を)単純化し過ぎている。この欠陥によって、あるマシンを利用するユーザーらが互いのデータを盗めてしまうおそれがある」(Percival)

 この問題の影響を受けるのはマルチユーザーのサーバだけだが、こうしたサーバは広く使用されている。「最も明らかな例は、大多数の小規模なEコマースサイトが利用している共有ウェブサーバだ。これらのシステムでは、この欠陥は非常に深刻だ」(Percival)

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]