攻撃が増加しているWindowsの脆弱性に対して、セキュリティ専門家グループがサードパーティーパッチを公開した。同グループがパッチを公開したのはこの2週間で2度目となる。
Zeroday Emergency Response Team(ZERT)は、Microsoftがアップデートを公開するまでWindows PCを保護できるよう、パッチを作成したことを明らかにした。これによりユーザーは、Microsoftが先週より警告を発してきた脆弱性に対してサードパーティーによるパッチという選択肢を得たことになる。セキュリティ企業Determinaも米国時間9月29日、同じ脆弱性に対応するためのパッチを公開した。
同脆弱性はWindows 2000、Windows XP、Windows Server 2003に影響し、WebViewFolderIcon ActiveXコントロールを介して、ウェブブラウザ「Internet Explorer(IE)」使用時に悪用される可能性がある、とMicrosoftは28日にセキュリティ勧告で述べた。
セキュリティ専門家らは30日、同脆弱性を悪用したウェブサイトが出現し、気づかれないように悪意のあるソフトウェアを脆弱なWindows PCにインストールしていると明らかにした。
ZERTがMicrosoftより先にパッチを公開したのはこの2週間で2度目である。およそ10日前、同グループは、「vgx.dll」と呼ばれるWindowsコンポーネントの脆弱性を修正するパッチを作成した。vgx.dllはVector Markup Language(VML)グラフィックスをOSでサポートするためのコンポーネントである。
サードパーティーパッチには警告の言葉がつきものであり、Microsoftではその利用を決して推奨していない。ZERTではパッチをテストしているが、作成時にMicrosoftと同等のリソースを使っているわけではない、と述べる。ZERTではパッチのソースコードを提供し、利用者側での認証を可能にしている。
今回のWindows Shellに関する脆弱性は、約2カ月前にHD Moore氏の「今月のブラウザバグ」として発見されていた。しかし、最近になるまでサンプルの攻撃コードは出現していなかった。
Microsoftは、同問題に対するパッチを月例パッチとして米国時間10月10日に公開する計画だと述べている。しかし、攻撃が増加したことから、公開が早まる可能性がある。同社は9月26日、VML脆弱性のパッチを前倒しで公開している。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス