『IE』の脆弱性に、サードパーティ2社がパッチ公開

Microsoft の Web ブラウザ『Internet Explorer』(IE) について、重大な脆弱性の対策プログラムをサードパーティ2社が公開した。同脆弱性は、IE の「createTextRange()」メソッド呼び出し処理方法に問題があり、任意コード実行の恐れがあるというものだ。Microsoft は未だこの脆弱性に対し、公式の修正プログラムを配布していない。

独自の対策プログラムを公開したサードパーティの1社、eEye Digital Security の共同創設者 Marc Maiffret 氏は、サードパーティがパッチを公開したことついて、「Microsoft が、自社のユーザーを保護できていないことによって起きた結果だ」と述べた。

eEye によると、27日に無料パッチを公開して以来、ダウンロード数は6万3000件以上を数えたという。Maiffret 氏は問題の脆弱性について、「至急対応しなければならない重大なもの」と語る。

Maiffret 氏によると、createTextRange の脆弱性が公になって以来、何百もの Web サイトが、同脆弱性を突くコードを含んでいると判明したという。

eEye に続いてセキュリティ会社 Determina も27日、同じ脆弱性に対応するプログラムを公開した。

Microsoft 製品の脆弱性に対し、正式対応前にサードパーティがパッチを公開するのは、今回が初めてではない。

ロシアのソフトウェア開発者 Ilfak Guilfanov 氏は今年1月、『Windows Metafile Format』(WMF) の脆弱性に対応するパッチを公開した。この時、情報セキュリティ研究機関 SANS Institute とセキュリティ会社 F-Secure は、同パッチの適用を推奨した。これは当時、十分に有効な回避策がなかったためだ。

createTextRange の脆弱性に話を戻すと、Microsoft は28日、該当の脆弱性に関するセキュリティ勧告を更新した。24日の更新と比べて大きな変更点は、正式な修正プログラムの準備状況を追記した点だ。

最新版のセキュリティ勧告によると、Microsoft は createTextRange の脆弱性に対応する IE の累積的なセキュリティ更新の開発をすでに終えており、4月の月例更新 (4月11日の予定) か、状況によっては前倒しで公開するという。現在同社は、セキュリティ更新の品質と互換性確保のため、最終的なテストを行なっている。

しかし Maiffret 氏は、「Microsoft を待っていたら、ユーザーは16日間危険に晒されたままになる。Microsoft の更新スケジュールは、時宜を得ていない」と手厳しい。

ただ SANS は createTextRange の脆弱性対応に関し、サードパーティのパッチ適用を推奨していない。SANS の最高調査責任者 Johannes Ullrich 氏は取材に応え、WMF 脆弱性の場合と異なり、今回は十分な回避策があるため、現段階でこれらのパッチは必要ないと述べた。

Ullrich 氏によると、WMF の脆弱性の際は、悪用例が広範囲に広がっていた上、妥当な回避策がなかったため、サードパーティ製パッチを推奨したという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール