「こっそり対処」のMSの脆弱性、今になって明るみに

Microsoftが昨年12月のパッチで対処済みの脆弱性に関する情報が、今になって公開された。

[ITmedia]

　US-CERTは4月21日付で、MicrosoftのHeartbeatCtl ActiveXコントロールに関する脆弱性情報を公開した。セキュリティ企業の米McAfeeは4月23日、これについて「パッチ公開の時点で公表せず、密かに対処された問題のようだ」と解説している。

　US-CERTの情報によると、HeartbeatCtlはMSN GamesのWebサイトでゲームを利用する際に使用するActiveXコントロール。脆弱性は、このコントロールのバッファオーバーフローの問題に起因し、第三者に悪用されると任意のコードを実行される可能性もある。

　この問題は、Microsoftが2007年12月に公開した「MS07-069」のパッチで修正されたという。しかし、McAfeeはMS07-069ではこの脆弱性について言及されていないと指摘した。

　12月に対処済みの脆弱性情報が今になって明るみに出たことについて、McAfeeは「逆になるより（事前に明るみに出る）はいいだろう。“なぜ知らせてもらえなかったのか”という追及するつもりはない」と述べている。