ニュース
2004/04/21 08:43 更新


Windows SSLの脆弱性を突くコード

Netcaftは4月19日、Windows SSLの脆弱性を突く「SSL Bomb」というコードへの注意を促した。SSL BombのリリースはMicrosoftによる対応の翌日。

 ネットアクセス調査会社のNetcaftは4月19日、Windows SSLの脆弱性を突く「SSL Bomb」というコードが出回っているとして注意を促した。

 この脆弱性はサービス妨害(DoS)攻撃につながる恐れがあり、Microsoftが先週の月例セキュリティアップデートで対応したもの。NetcraftによるとSSL BombのリリースはMicrosoftによる対応の翌日のことだった。特殊なSSLパケットによってWindows 2000、Windows XP搭載の最新パッチを当てていないマシンでSSL接続の受け入れを中止させ、Windows Server 2003ではリブートを余儀なくされる可能性もあるという。

 Netcraftによると、MicrosoftがMS04-011で対応したこのSSLの脆弱性は、同じセキュリティアップデートで対応がなされているPCTの脆弱性(パッチを当てていないSSL実行システムをリモート攻撃される恐れがある)とは別のもの。最大深刻度「緊急」のMS04-011では、14種の異なるセキュリティ問題に対処しているが、このことが批判も呼んでいる。

 Netcraftの警告の中でJupiter Researchのアナリスト、ジョー・ウィルコックス氏は、「こうした統合はMicrosoftがセキュリティをPR戦略に使っていることの表れだと思う。Microsoftは顧客に脆弱性を警告し、適切なパッチを発行することで評価されるべきだ。全体的問題を小さく見せることは顧客にとってもMicrosoftにとっても得策ではない」と述べている。

関連記事
▼ユーザーの怒りを買ったMicrosoftの最新パッチ
▼No patch, No Computing――MSの月例アップデートを考える
▼DoS攻撃より手強い?――Windows Updateサイトにアクセス殺到、一部で更新に支障
▼MSの月例アップデート、Outlook Expressの脆弱性などに対応

関連リンク
▼Netcraft

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -