Windowsヘルプに未修正の脆弱性が見つかる――情報公開に批判も

Googleの研究者がWindowsヘルプの脆弱性を発見して情報を公開したものの、Microsoftが「ユーザーを危険にさらす行為だ」と反発している。

» 2010年06月11日 07時32分 公開
[鈴木聖子,ITmedia]

 米Microsoftは6月10日、Windowsヘルプに未修正の脆弱性が存在するとして、アドバイザリーを出して注意を呼び掛けた。同社の発表を待たずに情報を開示した研究者に対し、「責任ある情報開示を求める」と批判している。

 セキュリティ企業のフランスのVUPENとデンマークのSecuniaも、この脆弱性の存在を確認したとしてアドバイザリーを公開した。脆弱性はWindowsのHelp and Support Centerアプリケーション(helpctr.exe)内部の機能のエラーに起因し、悪用されるとシステムを制御される恐れがあるという。

 Microsoftによると、この脆弱性はWindows XPとWindows Server 2003に影響がある。一方、Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2は影響を受けず、攻撃のリスクも存在しないとしている。

 今回の脆弱性はGoogleのセキュリティ研究者が発見したもの。研究者は6月5日にMicrosoftに連絡をしたが、9日に情報を一般公開したという。これについてMicrosoftは、「われわれに問題を解決する時間を与えることなく脆弱性の詳細とそれを悪用する方法を公開するのは、大規模攻撃の可能性を高め、ユーザーを危険にさらす行為だ」と批判した。

 Microsoftのアドバイザリーでは、当面の対策としてHCPプロトコルの登録を解除する方法を紹介している。なお、Googleの研究者による分析は不完全で、「この研究者が回避策として紹介している方法は簡単に回避されてしまう」とも指摘した。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.