Compaq の「ActiveX」ポリシーに漏れ

Compaq Computer は、同社の広く利用されているデスクトップ、ノー トPC『Presario』シリーズに搭載された ActiveX プログラムにセキュリティホールがあると発表した。クラッ カー意図をもって構築した特定の Web ページを訪問したり、ブービートラップを仕掛けた HTML Eメールを読 むと、ユーザーの Presario 内のファイルを上書きされる可能性があるというものだ。

Compaq は、11日遅く発表した速報の中で、 カスタマーサポートタスクの実行のため、ActiveX コントロールを入れたと説明している。そして、この欠陥 による危険度を「サービス拒否 (DoS) の脆弱性」と分類した。

この ActiveX 関連システムバグが初めて明らかになったのは2年前のことだ。Privacy Foundation の CTO、 Richard Smith 氏が「NTBugTraq」メーリングリストにポストしたメッセージの中で公表した。

今回の Compaq 問題について、同氏は InternetNews.com のインタビューに答え、次のように語っている。 「Presario は、ハードディスクへの書き込みやファイルの上書きを可能にする11個ほどの ActiveX コント ロールを搭載している。したがって、『サービス拒否』という言い方は誤解を招く。この欠陥は、データやオ ペレーティングシステムの破壊にもつながるものだ。私はもっと深刻に扱うべき問題だと思う」

Compaq の広報担当者は、同社のサービス連絡網を通じて約200万人のユーザーにパッチを発行済みであると 語った。

広報担当者は、全ての Presario が ActiveX コントロールを内蔵しているとも述べた。したがって、危険にさ らされているユーザーは膨大な数になる。ユーザーにいつも最新情報を届けるべく、Compaq はセキュリティ メーリングリスト サービスを開始した。これまで26万人が同サービスに登録済みという。

Compaq は、販売店に対して Presario の出荷停止を求める予定はないと述べている。