Microsoftのセキュリティ問題突いたコンセプト実証コードが公開

Microsoftは「ADODB.Connection」オブジェクトに関するコンセプト実証コードについて調査を開始。McAfeeはIEのゼロデイ攻撃が公開されたと報告している。

» 2006年10月27日 11時32分 公開
[ITmedia]

 米Microsoftはセキュリティセンターのブログで10月27日、「ADODB.Connection」オブジェクトの脆弱性に関するコンセプト実証コードが公開されたことを明らかにした。

 同社では、脆弱性の意図的な悪用が発生した場合の対策措置であるSoftware Security Incident Response Process(SSIRP)を立ち上げ、調査に当たっていると説明。調査の結果、顧客にとって脅威になると分かれば適切な措置を取るとしている。

 一方、セキュリティソフトメーカーの米McAfeeはAvert Labsのブログで25日、Interne Explorer(IE)の未パッチの脆弱性を突いたゼロデイ攻撃について報告している。

 それによると、問題のコンセプト実証コードは10月24日にリリースされ、これを使うとIEでサービス妨害(DoS)攻撃を誘発できてしまうという。

 McAfeeは、Microsoftが月に1回しかセキュリティアップデートを公開していないことを批判。これによって月例パッチ直後の悪用コード公開が助長され、いずれ「パッチ・チューズデイ」翌日の「ゼロデイ・ウェンズデイ」が恒例化するかもしれないと警告している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ