Microsoft、セキュリティ勧告方法を非難

IT セキュリティサービスの Secunia は17日、全てのパッチを適用した『Windows XP (SP2 導入済み)』と『Internet Explorer (IE) 6』の環境に見つかったとして、セキュリティ勧告を公開した。その深刻度は5段階中3番目の高さだという。

しかし、指摘を受けた Microsoft (NASDAQ:MSFT) は、Secunia が適切なチャンネルを通じて適切に開示しなかったとして、その勧告方法を非難した。

Secunia が指摘した脆弱性は、HTML 文書と思わせ、悪意あるファイルをダウンロードするようユーザーを騙しかねないというものだ。

SP2 を使っている場合、ある種のファイルをダウンロードしようとすると、セキュリティ上リスクの恐れがあると警告が出る。しかし、Secunia によると、ファイル送出の際、HTTP ヘッダの「Content-Location」に細工を施すことで、そうしたセキュリティ警告が出ない状況を作ることが可能だという。

もう1つの脆弱性は、SP2 のデフォルト設定を利用したものだ。悪意あるファイルの拡張子詐称を許し、実際と違うファイルだとユーザーに思い込ませる恐れがあるという。

IE のデフォルト設定では、「既知タイプのファイルの拡張子は表示しない」となっている。問題の脆弱性は、Javascript の機能「execCommand()」につけ込む。

Microsoft の広報担当が internetnews.com に語ったところによると、同社は Secunia が指摘した IE の脆弱性を認識しており、現在セキュリティ対応手順に沿って調査中だという。

同広報担当はまた、Secunia が責任あるやり方で勧告を開示せず、Microsoft への直接報告もなかったとして、次のように非難している。

「わが社は、IE の脆弱性に関する新しい報告が責任あるやり方で開示されなかったため、コンピュータユーザーを危険にさらす恐れがあると懸念している。われわれは今後も責任あるやり方で脆弱性の情報開示をするよう促し続ける。脆弱性を発見したら、最初に該当ソフトウェア会社に直接連絡するのがユーザーにとって最大の利益というのは常識になっていると思う。そのように対処すれば、パッチ開発中にユーザーを悪意ある攻撃にさらさずにすむ。そして、包括的かつ質の高いセキュリティアップデートをユーザーに提供できる」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール