ニュース
2004/04/21 08:43 更新
Windows SSLの脆弱性を突くコード
Netcaftは4月19日、Windows SSLの脆弱性を突く「SSL Bomb」というコードへの注意を促した。SSL BombのリリースはMicrosoftによる対応の翌日。
ネットアクセス調査会社のNetcaftは4月19日、Windows SSLの脆弱性を突く「SSL Bomb」というコードが出回っているとして注意を促した。
この脆弱性はサービス妨害(DoS)攻撃につながる恐れがあり、Microsoftが先週の月例セキュリティアップデートで対応したもの。NetcraftによるとSSL BombのリリースはMicrosoftによる対応の翌日のことだった。特殊なSSLパケットによってWindows 2000、Windows XP搭載の最新パッチを当てていないマシンでSSL接続の受け入れを中止させ、Windows Server 2003ではリブートを余儀なくされる可能性もあるという。
Netcraftによると、MicrosoftがMS04-011で対応したこのSSLの脆弱性は、同じセキュリティアップデートで対応がなされているPCTの脆弱性(パッチを当てていないSSL実行システムをリモート攻撃される恐れがある)とは別のもの。最大深刻度「緊急」のMS04-011では、14種の異なるセキュリティ問題に対処しているが、このことが批判も呼んでいる。
Netcraftの警告の中でJupiter Researchのアナリスト、ジョー・ウィルコックス氏は、「こうした統合はMicrosoftがセキュリティをPR戦略に使っていることの表れだと思う。Microsoftは顧客に脆弱性を警告し、適切なパッチを発行することで評価されるべきだ。全体的問題を小さく見せることは顧客にとってもMicrosoftにとっても得策ではない」と述べている。
関連記事
ユーザーの怒りを買ったMicrosoftの最新パッチNo patch, No Computing――MSの月例アップデートを考えるDoS攻撃より手強い?――Windows Updateサイトにアクセス殺到、一部で更新に支障MSの月例アップデート、Outlook Expressの脆弱性などに対応関連リンク
Netcraft[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
