Core Securityが公表した問題は「脆弱性ではない」とMicrosoftが反論している。
Microsoftの仮想化ソフト「Virtual PC」に未修正の脆弱性があるとしてセキュリティ企業が情報を公表したことについて、MicrosoftがWindowsセキュリティブログで「これ自体は脆弱性ではない」と反論している。
米Core Security Technologiesは3月16日付でアドバイザリーを公表して「Virtual PCに未修正の脆弱性がある」と指摘。この問題を突かれるとWindowsに実装されているDEPやASLRといったセキュリティ機能がかわされ、Virtual PCのゲストOS上でアプリケーションのバグを悪用される恐れがあると解説していた。
これについてMicrosoftは、「まず第一に、これはWindows 7のセキュリティに直接かかわるものではない」と強調。Core Securityが取り上げている「機能性」は脆弱性ではなく、「システム上に既にあった脆弱性を、攻撃者がより簡単に悪用する方法を記述したにすぎない」と反論した。
その上で、この「機能性」はVirtual PC環境内で実行されているゲストOSにのみ影響を与えると解説。「つまり攻撃者はWindows 7ではなく、Windows XPのゲスト仮想マシン内部で実行されている脆弱なアプリケーションを悪用できるにすぎない」としている。
DEPやASLRなどのセキュリティ機能がかわされてしまうとの指摘については、「仮想マシン内部では、物理マシンに比べてWindowsカーネルにある防御の仕組みの効力が薄れる」と認める一方、「脆弱性が導入されることはなく、特定のセキュリティ保護の仕組みが失われるだけだ」と強調した。
Windows XP ModeとWindows Virtual PCは、レガシーアプリケーションをWindows 7で実行したいユーザーを橋渡しするための優れた戦略だとMicrosoftは言い、適切に機能させるためには必要なアプリケーションのみをインストールして、将来的にそのアプリケーションをWindows 7に移行させることを考えてほしいと促している。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.