logo

IE修正用の暫定セキュリティパッチ、サードパーティが先に公開

文:Joris Evers(CNET News.com)
翻訳校正:尾本香里(編集部)
2006年03月28日 13時16分
  • このエントリーをはてなブックマークに追加

 MicrosoftのInternet Explorer(IE)に存在するセキュリティホールが明らかにされたことを受け、eEye Digital Securityは米国時間3月27日、 これに対処する暫定パッチを公開した。

 この非公式パッチは、IEの脆弱なコンポーネントに対するアクセスを遮断し、(先頃明らかにされた)脆弱性の悪用を防ぐためのものだと、eEyeのセキュリティプロダクトマネージャーSteve Manzuik氏は述べている。Microsoftはこの脆弱性の修正パッチをまだ公開していない。

 eEyeは、公開した暫定パッチについて、この脆弱性を悪用した攻撃からPCを保護することは確かだが、あくまでも最後の手段としてこれを利用して欲しいと述べている。

 「企業や団体では、Active Scriptingを無効にするという回避策を講じられない場合があるが、そうした場合にだけこのパッチをインストールすべきだ」とManzuik氏は述べている。Microsoftでは、問題の回避策としてActive Scriptingを無効にするよう勧めている。

 「このパッチは、Microsoftが予定しているパッチの代用ではない。あくまでも脆弱性の悪用から身を守るための一時的な保護策だ」(Manzuik氏)

 Manuzik氏によると、「Blink」という侵入防止製品を開発するeEyeでは顧客からの要望に応えるためにこのパッチを作成したという。「Blinkを実装していない顧客から、暫定的な解決策を求められた」と同氏は説明した。eEyeでは、このパッチを自社のウェブサイトで公開し、誰もが入手できるようにしている。

 Microsoftは、eEyeのつくったパッチの利用を推奨していない。MicrosoftのStephen Toulouse氏(同社セキュリティレスポンスセンター、プログラムマネージャー)は「われわれは、この暫定ツールをテストしていない。テストしていないものを推奨することはできない・・・顧客は、こうしたものをシステムに適用することについて、慎重になるべきだ」と述べている。

 問題の脆弱性は、IEのにおける「createTextRange()」メソッドの処理方法に関するもの。同脆弱性が先週明らかにされて以来、これを悪用するウェブサイトが200以上見つかっている。セキュリティ企業Websenseによると、こうしたサイトは、脆弱なマシンに対してスパイウェアや遠隔操作用のソフトウェア、トロイの木馬をインストールするものだという。

-PR-企画特集