ニュース
2004/02/18 05:19:00 更新
ソースコード流出がきっかけで指摘された新たなIEの脆弱性、その影響は?
Windows 2000とWindows NT 4のソースコードの一部がインターネットに流出したことが明らかになってからわずか2日後、そのコードを元に、Internet Explorerの新たな脆弱性が指摘された。
Windows 2000とWindows NT 4のソースコードの一部がインターネットに流出した――Microsoftがこの事実を認めたのが2月12日のことだ。
それからわずか2日後の2月14日、流出したソースコードを元に新たな脆弱性を発見したとするメールが、セキュリティ関連のメーリングリストに投稿されている。この事実を踏まえて米Microsoftは2月16日、名指しこそしないものの、この脆弱性に関する調査を開始したことを明らかにした。
この脆弱性は、gta@hush.comというメールアドレスを持つ人物が指摘したものだ。攻撃者が細工を施したBMP形式の画像ファイルを、Internet Explorer(IE)やOutlookで開こうとするとバッファオーバーフローが発生し、アプリケーションが落ちたり、悪くすると任意のコードを実行される恐れがあるという。投稿者は、この脆弱性を実証するコード(画像ファイル)も同時に公開している。
投稿者の言葉を信じれば、この脆弱性はIE 6には影響せず、Windows 98+IE 5の組み合わせに影響を及ぼすということだ。ITmediaでも試してみたが、Windows XP+IE 6 Service Pack 1では画像ファイルを表示させても問題なかったが、Windows 2000+IE 5.5では見事にIEが落ちてしまった(IE 5.01は手元に環境がないためチェックできていない)。
ただ、メーリングリストへの別の投稿者は、Windows XPとOutlook Express 6の組み合わせで実証コードを試したところ、システムがクラッシュしたと報告している。したがって、この脆弱性がどの範囲まで影響を及ぼすかを見極めるには、もう少し詳しい調査が必要そうだ。
なおMicrosoftはプレスリリースの中で、報告された脆弱性についての調査を開始したことを明らかにするとともに、「この脆弱性は、Microsoft内部では把握していた既知のものであり、IE 6.0 Service Pack 1という最新のバージョンでは修正されている」と明言している。
そもそもIE 5およびIE 5.5は、マイクロソフトが「Windows デスクトップ製品のライフサイクル」で明らかにしているとおり、Internet Explorer 5.01搭載のWindows 2000 SP3を除けば、サポート期間は既に終了している。それでなくともセキュリティレベルの維持を考えれば、放棄を考慮すべきバージョンだ。現実には既存アプリケーションとの整合性の都合などもあるだろうが、これでまた1つ、最新バージョンへの移行を迫る理由が増えたことになる。
この一件は同時に、ソースコードを公開するほうが安全なのか、それとも秘密にしておくほうがいいのか、また脆弱性の情報はすべて公開すべきなのか、あるいは必要以上に情報を明らかにしないほうがいいのかといった議論にも一石を投じることになるだろう。ソースコードの流出が遠因となり、悪用も可能な実証コードが公開され、リスクが高まったことは事実だ。ただ同時に、最新バージョンで修正されているにせよ、この一件がなければ脆弱性の存在自体が公にならなかったこともまた事実だ。
関連記事
流出したWindowsコード、出所はパートナー企業か?Microsoft、Windowsソースコードの流出を認める[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
