オープンソースの『IE』パッチにセキュリティ問題

オープンソースのフリーウェアを開発する団体の OpenWares が、 Microsoft のブラウザ『Internet Explorer (IE)』に見つかった、 偽装 URL 絡みのセキュリティホールを修正するパッチを公開した。 このパッチは正式対応より先行して公開されたが、 開発者の間からは、該当のパッチ自体にいくつか問題があるという警告が出ている。

OpenWares が IE のパッチを掲示してわずか数時間後、技術関係者らは OpenWares の修正にバッファオーバーフローの脆弱性があり、OpenWares に情報を集中的に戻す仕組みが入っていると指摘、OpenWares は、バッファオーバーフローの問題を認め、新しいバージョンをリリースすると約束した。

偽装 URL は、疑いを持たぬネット利用者に、クレジットカード番号や社会保障番号などの重要情報を提示させるためのテクニックで、セキュリティ関係者は、同脆弱性を「高リスク」と評価したが、Microsoft (NASDAQ:MSFT) はまだ修正プログラムを公開していない。

Microsoft は IE に問題が存在することを認めており、パッチを公開すると約束した。しかし、サードパーティの OpenWares が問題のあるパッチを公開したことで、同社にとってはタイミングよくソフトウェアのパッチを公開することだけで十分に大変な取り組みなのにもかかわらず、さらに問題の複雑さが増したといえる。

Microsoft の正式な対応より先行して脆弱性が明らかになるのは、今回が初めてではない。先月、中国の研究者 Liu Die Yu 氏が、IE にはシステムの乗っ取りににつながる可能性のある深刻な脆弱性が5つあるとして、Microsoft の公式対応を待たずに実施手段を公開した。

ベンダーの正式対応を待たずに、脆弱性の実地利用例を示す行為については、業界から個人のセキュリティ専門家をいさめる声が上がっているが、一方でそうした個人のセキュリティ専門家たちからは、脆弱性発覚によるイメージ低下を避けるため、個人レベルで情報提供しても、製品ベンダーは無視することが多いと、非難する声が出ている。