IEの非公式パッチに専門家が警告

WMFの脆弱性を突く攻撃が発生した際、専門家はサードパーティーのパッチを推奨した。だが今回のIEの脆弱性に関しては、非公式の臨時パッチを推奨していない。

» 2006年03月29日 14時59分 公開
[Ryan Naraine,eWEEK]
eWEEK

 尊敬を集めているインターネットセキュリティ企業2社が、Microsoftの月例パッチの2週間前に、Internet Explorer(IE)の脆弱性に対処する非公式パッチをリリースした。

 一連のゼロデイ攻撃が起きる中で、eEye Digital SecurityとDeterminaはそれぞれIEユーザーに一時的な防御策となるホットフィックスを提供したが、専門家らは、サードパーティーのパッチは「Buyer Beware(買い手側がリスクを負う)」のタグが付いているとして注意を促している。

 一般的なルールとして、Microsoftはサードパーティーのアップデートを決して推奨しない。厳密な品質保証テストが行われないため、非公式パッチが規制対象業界で義務付けられているアプリケーションやインハウスアプリケーションに及ぼし得る影響を把握できないためだという。

 先にWMFの脆弱性を突くマルウェア攻撃が発生した際、リバースエンジニアリングの大家イルファク・ギルファノフ氏が臨時パッチを開発し、SANS ISC(Internet Storm Center)とウイルス対策ベンダーF-Secureの専門家はこれを推奨した。

 今回、SANS ISCは臨時パッチを推奨していない。同機関のチーフセキュリティオフィサー、ヨハネス・ウルリッヒ氏は日記のエントリで、Microsoft公認の、アクティブスクリプトを無効にする対策で十分に攻撃のリスクを抑えられるとしている。

 しかしeEyeの共同創設者でチーフハッキングオフィサーのマーク・メイフレット氏は、一部のIEユーザーはアクティブスクリプトを必要とする正規のWebサイトを訪れたときに問題を抱えるかもしれないと主張している。「当社のパッチを、Microsoftがリリースするパッチの代わりにする意図はない。これは一時的な保護策でしかなく、アクティブスクリプトを有効にしなければならない人々のための最後の手段として勧めている」と同氏はeWEEKの取材に対して応えた。

 同氏は、eEyeのホットフィックスは、Microsoftが公式アップデートをリリースしたら自動的にアンインストールされるとしている。

 「多数の顧客とIEユーザーからアドバイスを求められた。Microsoftは4月11日までパッチをリリースしないと思い、同社が投入するであろうパッチと似たような、影響を受けるコードのインメモリパッチを開発することにした」と同氏は説明する。

 「(当社のパッチは)この特定の脆弱性を修正する。特に悪質なWebサイトでない限り、JavaScript機能を壊すことはない。攻撃が行われているのに、16日以上ユーザーを無防備にしておくことはできない」(同氏)

 Determinaのセキュリティ研究チームのチーフリバースエンジニア、アレクサンドラ・ソティロフ氏は、同社のフィックスは全ソースコードとともに、IE 5.01およびIE 6向けにリリースされたとしている。

 「このフィックスは、AppInit_DLLsレジストリキーを介してすべてのアプリケーションに組み込まれるDLLだ」と同氏はセキュリティメーリングリストに投稿したメッセージの中で述べている。このDLLは、MSHTML.DLLがメモリにロードされたときに1つのシングルバイトにパッチを当てることで、問題のバグを修正するという。「この変更により“createTextRange()”関数がゼロの代わりにエラーコードを返すようになる。これは、3月20日にリリースされたIE 7最新βでこの問題を修正している方法と同じだ」

 eEyeのメイフレット氏は、Microsoftがこの攻撃を「限定的な範囲」と表現し、その深刻度を軽視していることを批判している。

 「Microsoftは、攻撃が見つかったURLがわずか200件という理由から、大きな脅威ではないと言っている。残念なことだ。どうしてこの攻撃について、ネットワークワームと同じように考えているのだろうか。この標的を絞ったひそかな攻撃のリスクは非常に高い。Microsoftにとって緊急事態のはずだ」と同氏は主張する。同氏はMicrosoftに、定期的に脆弱性についての情報を提供している。

 「これは皆が見落としている、もっと重要な問題だ。非公式パッチをリリースしているeEyeやほかの企業に関する問題ではない。もっと重要なのは、Microsoftがゼロデイから顧客を守る力を持たないということだ。攻撃が行われているというのに、顧客が何週間も黙って待っているはずがない」(同氏)

 Microsoftの広報担当者はeEyeのパッチを、脆弱性に対処するのではなく、Webサイトが攻撃に利用する攻撃ベクトルを防ぐ緩和手段となるように見受けられる「サードパーティーの緩和ツール」と呼んでいる。

 「Microsoftは、eEyeが当社の顧客にこの脆弱性の緩和ツールを提供していることは評価するが、一般的なルールとして、顧客は開発元からのセキュリティアップデートを適用するべきだ」とこの担当者は話している。

 この担当者は、Microsoftはセキュリティアップデートの品質を確保するために慎重に評価、テストを行っており、アプリケーションの互換性のために徹底的な検査を行ってきたと語る。さらに、同社のセキュリティアップデートは影響を受けるすべてのバージョン向けに、23種の言語で同時に提供される。「Microsoftはサードパーティーのセキュリティアップデートや緩和ツールに対して、このような保証はできない」

 同社は、必要であれば累積IEフィックスを「臨時」アップデートとしてリリースする可能性もあると話している。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ