ITmedia エンタープライズ

　Internet Explorerに発見された「極めて危険」なセキュリティホールのせいで、Microsoftと数千人に上るであろう被害者のクリスマスは台なしになることだろう。

　Techworld誌が調べたところによれば、この欠陥により、悪意のあるコードを隠したWebサイトを訪れたユーザーのコンピュータに、侵入者はあらゆるコードをインストールすることが可能になる。セキュリティ制限をバイパスし、機密情報なども容易に漏洩させることが可能となる。

　Microsoftはこのセキュリティ問題について知らされておらず、その詳細はすでにパブリックドメインに置かれている。つまり、状況は非常に危険なものになっているということだ。セキュリティ会社のSecunia.comによれば、この方法は中国の研究者、リュウ・ディー・ユー氏により一般向けメーリングリストにポストされており、同社は危険度を5段階のうち4としている。

　SecuniaのCTO、トーマス・クリステンセン氏は、Microsoftはセキュリティのアップデートとパッチを月次で行うという新しいポリシーに切り替えたため、このセキュリティ問題に対処できるのは1月以降になるだろうと警告する。

　「Microsoftは完全なパッチをリリースできるよう、時間をたっぷりとる傾向にある。現在彼らが取り組んでいるのは12月分のパッチなので、次は1月まで待つ必要があるだろう。ユーザーにとっては不幸なことだが」と同氏。

　もっとも、Microsoftの広報担当は、問題が重要なものであれば、通常の月次パッチに例外を設けることもあると述べている。ただし、この問題をどの程度深刻に捉えているかについては同社のコメントはなかった。

　一方、クリステンセン氏は複数あると思われるセキュリティホールのうちの一つは、かつて大きな被害をもたらしたNimbdaウイルスと非常に類似しているものだと指摘する。Secuniaのアドバイザリは次のとおり：

• リダイレクション機能が、見知らぬWebサイトにあるファイルの実行を差し止めるはずのExplorerのセキュリティ機能をバイパスしてしまう
• つまり、このセキュリティホールを悪用されると、悪意あるファイルがダウンロードされ、ユーザーのシステム上で実行される可能性がある
• クロスサイトスクリプティングのセキュリティホールにより、ユーザーの保護された「My Computer」エリア（「My Computer」ゾーン）でも同じファイルが実行され、重要な情報が漏洩する可能性がある
• 以前修正された脆弱性も再び悪用される可能性があり、コンピュータに対するコントロールは限定されたものとなる
• 誤ったヘッダーフィールドのために、ユーザーのキャッシュが推測可能となってしまう

　つまるところ、ダメダメだということだ。