再び先を越されたマイクロソフト--2週間で2度目のサードパーティーパッチ

文:Joris Evers(CNET News.com) 翻訳校正:編集部2006年10月02日 16時59分
  • このエントリーをはてなブックマークに追加

 攻撃が増加しているWindowsの脆弱性に対して、セキュリティ専門家グループがサードパーティーパッチを公開した。同グループがパッチを公開したのはこの2週間で2度目となる。

 Zeroday Emergency Response Team(ZERT)は、Microsoftがアップデートを公開するまでWindows PCを保護できるよう、パッチを作成したことを明らかにした。これによりユーザーは、Microsoftが先週より警告を発してきた脆弱性に対してサードパーティーによるパッチという選択肢を得たことになる。セキュリティ企業Determinaも米国時間9月29日、同じ脆弱性に対応するためのパッチを公開した。

 同脆弱性はWindows 2000、Windows XP、Windows Server 2003に影響し、WebViewFolderIcon ActiveXコントロールを介して、ウェブブラウザ「Internet Explorer(IE)」使用時に悪用される可能性がある、とMicrosoftは28日にセキュリティ勧告で述べた。

 セキュリティ専門家らは30日、同脆弱性を悪用したウェブサイトが出現し、気づかれないように悪意のあるソフトウェアを脆弱なWindows PCにインストールしていると明らかにした。

 ZERTがMicrosoftより先にパッチを公開したのはこの2週間で2度目である。およそ10日前、同グループは、「vgx.dll」と呼ばれるWindowsコンポーネントの脆弱性を修正するパッチを作成した。vgx.dllはVector Markup Language(VML)グラフィックスをOSでサポートするためのコンポーネントである。

 サードパーティーパッチには警告の言葉がつきものであり、Microsoftではその利用を決して推奨していない。ZERTではパッチをテストしているが、作成時にMicrosoftと同等のリソースを使っているわけではない、と述べる。ZERTではパッチのソースコードを提供し、利用者側での認証を可能にしている。

 今回のWindows Shellに関する脆弱性は、約2カ月前にHD Moore氏の「今月のブラウザバグ」として発見されていた。しかし、最近になるまでサンプルの攻撃コードは出現していなかった。

 Microsoftは、同問題に対するパッチを月例パッチとして米国時間10月10日に公開する計画だと述べている。しかし、攻撃が増加したことから、公開が早まる可能性がある。同社は9月26日、VML脆弱性のパッチを前倒しで公開している

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加