ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

なぜアニメカーソル脆弱性を見逃したのか――MSのSDLチームが新ブログ

» 2007年04月28日 09時03分 公開
[ITmedia]

 Microsoftはなぜアニメーションカーソルの脆弱性を見逃したのか。同社Security Development Lifecycle(SDL)チームが新ブログを立ち上げ、初回でこの問題を取り上げている。

 Microsoftはアプリケーション開発の各工程でセキュリティ強化を図るため、SDLのプロセスを取り入れた。しかし同社セキュリティ対策センター(MSRC)のブログによると、今回のアニメーションカーソルの脆弱性をめぐっては「MicrosoftはSDLを活用していながら、どうしてWindows Vistaのこの脆弱性を見つけられなかったのか」との疑問が社外から寄せられているという。

 SDLのブログは、こうした問題について情報を提供し、セキュリティ/プライバシープロセスについてコメントする場として設けられた。

 初回は「アニメーションカーソルのセキュリティ問題から学んだ教訓」のタイトルで、同社のマイケル・ハワード氏(セキュリティエンジニアリング部門上級セキュリティプログラムマネジャー)がこの問題をめぐるSDLの対応について説明している。

 「アニメーションカーソルの脆弱性からは学ぶべきことが非常に多かった」とハワード氏。同氏によると、問題のコードはかなり古いもので、SDL以前のWindows 2000から使われていた。Windows Vistaのプロセスでは特定のAPIを禁止し、14万以上の関数に変更を加えて安全な関数を利用するようにしたが、「memcpy」はその対象になっていなかったという(関連記事)

 SDLは完璧ではなく、今後も完璧になることはないだろうとハワード氏は述べ、「われわれにはまだやるべきことがあり、それが今回の脆弱性で示された」と振り返っている。今後は新しいコードで「memcpy」を禁止した場合の影響を検討するなどの措置を取り、今回の教訓に従い、必要に応じて社内教育の向上を図る方針だという。

Copyright © ITmedia, Inc. All Rights Reserved.