MSが脆弱性悪用コードの存在確認、公開した企業を非難

Microsoftは2月10日に公開されたMSN Messengerの脆弱性を突いたコードの存在を確認し、修正プログラムリリース直後に実証コードを公開した研究機関を非難した。

» 2005年02月12日 08時54分 公開
[ITmedia]

 Microsoftのインスタントメッセージング(IM)プログラム「MSN Messenger」の脆弱性を突いたコードが公開された問題で、Microsoftがこのコードの存在を確認した。実際の攻撃や被害については認識していないという。

 問題の脆弱性を修正するプログラム(MS05-009)は2月8日にリリース済み。これをインストールしていれば今回の悪用コードの影響は受けないことを確認したとして、同プログラムの適用とMSN Messengerの更新版インストールを呼びかけている。

 米Microsoftは11日付でサイトに更新情報を掲載。それによると、Microsoftのソフト問題発見で知られるセキュリティ研究機関2社が、8日の脆弱性修正プログラムリリースの直後に、脆弱性実証コードをインターネットで公開した。

 このうちFinjan SoftwareはOffice XPの脆弱性についてMicrosoftに通報してきた企業で、Microsoftが修正プログラム(MS05-005)をリリースした8日に実証コードを公開。また、MSN Messengerに使われているPNG処理技術の問題を発見したCore Security Technologiesも、やはり8日に実証コードを公開した。

 その後別の人物が、公開されたコードの一部に手を加えて悪用コードを開発。まだアップデートを適用していないコンピュータを標的とした攻撃が可能になった。

 修正プログラムをリリースした数時間後にコンセプト実証コードを公開すれば、顧客にとってのリスクが高まるとMicrosoftは批判。責任ある研究者の対応として、このようなコードの公開はある程度の期間控えるのが普通だとして、遺憾を表明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ