ITmedia NEWS >

Windows SSLの脆弱性を突くコード

» 2004年04月21日 08時34分 公開
[ITmedia]

 ネットアクセス調査会社のNetcaftは4月19日、Windows SSLの脆弱性を突く「SSL Bomb」というコードが出回っているとして注意を促した。

 この脆弱性はサービス妨害(DoS)攻撃につながる恐れがあり、Microsoftが先週の月例セキュリティアップデートで対応したもの。NetcraftによるとSSL BombのリリースはMicrosoftによる対応の翌日のことだった。特殊なSSLパケットによってWindows 2000、Windows XP搭載の最新パッチを当てていないマシンでSSL接続の受け入れを中止させ、Windows Server 2003ではリブートを余儀なくされる可能性もあるという。

 Netcraftによると、MicrosoftがMS04-011で対応したこのSSLの脆弱性は、同じセキュリティアップデートで対応がなされているPCTの脆弱性(パッチを当てていないSSL実行システムをリモート攻撃される恐れがある)とは別のもの。最大深刻度「緊急」のMS04-011では、14種の異なるセキュリティ問題に対処しているが、このことが批判も呼んでいる。

 Netcraftの警告の中でJupiter Researchのアナリスト、ジョー・ウィルコックス氏は、「こうした統合はMicrosoftがセキュリティをPR戦略に使っていることの表れだと思う。Microsoftは顧客に脆弱性を警告し、適切なパッチを発行することで評価されるべきだ。全体的問題を小さく見せることは顧客にとってもMicrosoftにとっても得策ではない」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.