オープンソースの『IE』パッチにセキュリティ問題

この記事のURLhttp://japan.internet.com/webtech/20031222/12.html

オープンソースのフリーウェアを開発する団体の OpenWares が、 Microsoft のブラウザ『Internet Explorer (IE)』に見つかった、 偽装 URL 絡みのセキュリティホールを修正するパッチを公開した。 このパッチは正式対応より先行して公開されたが、 開発者の間からは、該当のパッチ自体にいくつか問題があるという警告が出ている。

OpenWares が IE のパッチを掲示してわずか数時間後、技術関係者らは OpenWares の修正にバッファオーバーフローの脆弱性があり、OpenWares に情報を集中的に戻す仕組みが入っていると指摘、OpenWares は、バッファオーバーフローの問題を認め、新しいバージョンをリリースすると約束した。

偽装 URL は、疑いを持たぬネット利用者に、クレジットカード番号や社会保障番号などの重要情報を提示させるためのテクニックで、セキュリティ関係者は、同脆弱性を「高リスク」と評価したが、Microsoft (NASDAQ:MSFT) はまだ修正プログラムを公開していない。

Microsoft は IE に問題が存在することを認めており、パッチを公開すると約束した。しかし、サードパーティの OpenWares が問題のあるパッチを公開したことで、同社にとってはタイミングよくソフトウェアのパッチを公開することだけで十分に大変な取り組みなのにもかかわらず、さらに問題の複雑さが増したといえる。

Microsoft の正式な対応より先行して脆弱性が明らかになるのは、今回が初めてではない。先月、中国の研究者 Liu Die Yu 氏が、IE にはシステムの乗っ取りににつながる可能性のある深刻な脆弱性が5つあるとして、Microsoft の公式対応を待たずに実施手段を公開した。

ベンダーの正式対応を待たずに、脆弱性の実地利用例を示す行為については、業界から個人のセキュリティ専門家をいさめる声が上がっているが、一方でそうした個人のセキュリティ専門家たちからは、脆弱性発覚によるイメージ低下を避けるため、個人レベルで情報提供しても、製品ベンダーは無視することが多いと、非難する声が出ている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。