『Windows』に2種類のコード実行脆弱性

セキュリティソフトウェア メーカーの eEye Digital Security が、Microsoft (NASDAQ:MSFT) の OS 製品『Windows NT 4.0』『Windows 2000』『Windows XP』『Windows 2003』の複数バージョンに影響する高レベルの脆弱性が2件存在することを明らかにした。しかし eEye と Microsoft はそれ以上の詳細にはほとんど言及していない。

3月16日と3月29日に初めて報告された2つの脆弱性に関する詳細は、Microsoft が修正パッチをリリースするまで公表しないという。

eEye の共同創設者 Marc Maiffret 氏は、こうした措置はクラッカーに脆弱性悪用のヒントを与えないためと述べた。同氏は、これまでのところ該当の脆弱性を悪用した事例は見当たらないと述べている。

Maiffret 氏によると、クラッカーがこれらの脆弱性を悪用すれば、遠隔コード実行スクリプトをシステムに挿入して、コンピュータを完全に支配できるという。Maiffret 氏は、『Internet Explorer』や『Outlook』だけでなく、『MSN Messenger』『AOL Instant Messenger』などの IM クライアント経由でも、攻撃を受ける可能性があると付け加えた。

Microsoft の広報担当者は、同社がこの脆弱性を調査中で、顧客が被害を受けたとの報告は無いと述べたが、脆弱性の詳細には言及しなかった。

同社は、「調査が終了したら、顧客を保護するため、要望に応じてサービスパックなり、月例セキュリティ更新なり、月例外対応なり、適切な行動を取る」と述べた。

Microsoft の4月の月例セキュリティ更新は、12日の予定だ。

ただし Maiffret 氏は、Microsoft がソフトウェアメーカーとしては脆弱性報告から修正パッチ提供までの日数が230日という最長記録を持つことを指摘し、近々に修正パッチは出そうもないとの見方を示した。eEye では、脆弱性が見つかってから60日が過ぎても修正パッチの公開に至らない場合、対応遅延を宣言することにしている。