ニュース
» 2006年08月24日 16時37分 UPDATE

MSはなぜ、IEパッチの再リリースを延期したのか (1/2)

MicrosoftはInternet Explorerの重要なパッチの再リリースを一時的に延期した。この措置を巡って専門家らとの間に議論が生じている。

[Ryan Naraine,eWEEK]
eWEEK

 MicrosoftがInternet Explorer(IE)ブラウザの重要なパッチの再リリースを一時的に延期したのは、同社のプロプライエタリなSystems Management Server(SMS)がキャビネット(.cab)ファイルを処理する方法に問題が見つかったからだ――この件に詳しい情報筋はこのように語っている。

 Microsoftでは、パッチ管理を簡素化するためのビジネスツールとしてSMSを宣伝しているが、SMSアーキテクチャが特定の圧縮ファイルを処理する方法にバグが見つかったため、同社は当初8月22日に予定されていたパッチのリリースを一時的に延期した

 Microsoftがソフトウェアアップデートを延期するのは通常、品質保証に問題が生じた場合だが、配布メカニズムに不具合が重要なパッチの一時的延期の理由であることを同社が明らかにしたのは今回が初めてである。

 インターネットセキュリティ専門家らは、同社の決定に批判的だ。

 民間調査機関のeEye Digital Securityでは、SMSに欠陥があるとしても、それはユーザーをコード実行攻撃の危険にさらす理由にはならないとしている。eEyeは先に、IEの問題は単なるブラウザのクラッシュであるとしたMicrosoftの当初の説明に対し、これは悪用につながる脆弱性であることを暴露した

 カリフォルニア州アリソビエホに本社を置くeEyeのロス・ブラウンCEOは、「Microsoftがセキュリティパッチのリリースを延期したのは、パッチに問題があるからではなく、同社独自の配布エンジンに問題があるからだ。Auto Updateはきちんと機能し、ほかの多数のパッチ提供ベンダーがそれを扱えるはずなのに、MicrosoftはSMSに欠陥があるという理由でユーザーを危険にさらそうとしている」と述べている。

 ブラウン氏は自身の個人ブログの記事の中で、ブラウザのクラッシュが、パッチをフルに適用したWindowsシステムに悪質なコードを埋め込むのに利用される可能性があるとeEyeが発表したのは無責任な行為であるとするMicrosoftの主張に憤慨している。

 同氏は、パッチリリースの延期という8月22日の決定に至るまでの出来事を時系列的に示し、Microsoft自身のセキュリティアドバイザリが「脆弱性が存在する場所を悪党どもに教えている」と主張している。

 「要するに、Microsoftは別の問題を引き起こすパッチを作成した後、(Microsoftのサポートに問い合わせないユーザーに対して)パッチのリリースを延期した上で、自社のアドバイザリのアップデートの中で脆弱性を特定するのに必要な情報を公開しているのだ」とブラウン氏は指摘する。

 MSRC(Microsoft Security Response Center)の公式ブログでは、プログラムマネジャーのスティーブン・トゥールーズ氏が、IEパッチのリリース延期について、「困難だが必要な」判断だったと説明している。

 「アップデートを現状のまま提供していれば、ユーザーがアップデートを導入できないという結果を招いていただろう」とトゥールーズ氏は語る。同氏はこの点に関して詳しい説明を避け、またSMSの問題が延期の理由であることも認めなかった。

 トゥールーズ氏によると、ブラウザのクラッシュとセキュリティ問題の関連性の断定を差し控えたのは、責任を持って情報を公開するという同社の立場に反するとともに、顧客をより大きな危険にさらす恐れがあったからだという。

 「これも当社にとって難しい判断だった。この問題が悪用される可能性はないといった不正確な説明をしようという意図はなかった。しかし当社の立場上、自身を守るために情報を必要とするユーザーと、その情報を、歴史が証明しているように、すぐに犯罪目的に利用する攻撃者の両方に情報を提供することに関しては、バランスを図らなければならないケースが多い」とトゥールーズ氏は語る。

       1|2 次のページへ

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -