Microsoft、早くも『IE 8』の安全性について調査中

Microsoft は、正式版を公開したばかりの Web ブラウザ『Internet Explorer 8』(IE 8) について、危険性を伴うおそれのあるセキュリティ ホールの詳細を調査中だと認めたが、提供中の IE 8 が深刻な攻撃の危険にさらされているとの憶測は打ち消した。

実際のところ、Microsoft のセキュリティ関連 Blog『Security, Research, and Defense』の記事によれば、19日に正式版の一般ダウンロード配布を開始した IE 8 では、可能性のある悪用方法が機能しないという。

先週、カナダのブリティッシュ コロンビア州バンクーバーで開催された年次セキュリティ カンファレンス『CanSecWest 2009』で、IE を攻撃する高度な手法が研究者らによって明らかになった。同カンファレンスの脆弱性発見コンテスト『Pwn2Own』で、参加者が IE 8 をはじめとする主要ブラウザの攻撃に成功したためだ。

Microsoft のセキュリティ対策広報を務める Christopher Budd 氏は取材に対し、Eメールで次のように述べている。「当社は現在、Internet Explorer 8 に脆弱性が存在するおそれがあるとの報告について調査中だ」

とはいえ Microsoft の主張によれば、CanSecWest で攻撃を受けた IE 8 のバージョンは、一般公開した正式版と異なるものだという。

「調査の詳細についてはコメントできないが、2009年3月19日にリリースした RTW 版(『Release to Web』の略で一般公開した正式版のこと) の場合、(悪用の) 成立を困難にするいくつかの修正を施しているため、CanSecWest で披露された攻撃実施例は成功しないと言える」と Budd 氏は述べている。

Microsoft の関係者によれば、Pwn2Own の主要スポンサーを務めたセキュリティ会社 TippingPoint Technologies は、問題の脆弱性について「責任ある形で」Microsoft に報告したという。つまり、Microsoft のエンジニアが問題の脆弱性を評価し、必要ならば修正できるように、包み隠したりせず時宜に適う形で問題の詳細を同社に引き渡したということだ。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール