MSはなぜ、IEパッチの再リリースを延期したのか（2/2 ページ）

[Ryan Naraine，eWEEK]

　しかしeEyeのチーフハッキングオフィサー、マーク・メイフレット氏によると、Microsoftのスタンスは理解しがたいという。「この問題は、既に研究者ならびにエクスプロイトコード作成者の間で知られている」とメイフレット氏はeWEEKの取材で語った。

　セキュリティアラートを集約しているデンマークのコペンハーゲンのセキュリティ企業、Secuniaによると、少なくとも2社の調査機関（eEyeとBold Internet Solutions）が、攻撃が可能となる条件をMicrosoftに報告したという。

　「われわれがこれを発見しているのであれば、悪党たちもそれを探し出していると想定する必要がある」とメイフレット氏は話す。

　Microsoftのトゥールーズ氏は、同社が複数の研究者と共同作業をしたことを認めるとともに、このバグはブラウザのクラッシュよりもはるかに深刻な問題であるという情報の公表時期に関して意見の不一致があったと話している。

　IEの公式ブログの中で、Microsoftのグループプログラムマネジャーのトニー・チョー氏は、eEyeは欠陥の深刻さを「無責任に」公表したとして同社を厳しく非難している。

　Microsoft自身のアドバイザリで、「長いURL」をクラッシュの原因として挙げているのは、潜在的攻撃者に一種のヒントを与えているのに等しいとするeEyeの指摘について、チョー氏とトゥールーズ氏のコメントを求めようとしたが、両氏とも連絡が取れなかった。チョー氏はブログ記事の中で、この脆弱性は「urlmon.dll」のクラッシュを通じて出現すると述べているが、これはeEyeなどが公表したものよりもはるかに詳細な情報である。

　チョー氏によると、Microsoftは当初のIEパッチで導入された新たな脆弱性の責任を開発担当者に取らせる予定だという。「残念ながら、われわれはこのような単純明解な問題を見逃した。われわれは適切なフィックスを作成する一方で、同じような間違いの再発を防止するための取り組みを進めている。例えば、この問題の責任がある開発者がチェックインしたコードを過去10カ月にさかのぼってチェックした」と同氏は述べている。

　チョー氏によると、Microsoftでは、作業が集中する時期にも柔軟に対応できるようにスタッフ編成とツールの「再検討」も行っているという。

原文へのリンク