IEパッチの脆弱性めぐるMSとeEyeの食い違い

[Ryan Naraine，eWEEK]

　MicrosoftがInternet Explorer（IE）のセキュリティパッチ再リリースを予定していたその日に、民間セキュリティ研究機関が、このパッチが悪用可能な脆弱性をもたらすと警告を発した。

　予期せぬIEのクラッシュを引き起こす不具合があるとして、Microsoftがこのパッチのホットフィックスを提供してから1週間もしないうちのことだ。

　しかしeEye Digital Securityのアドバイザリーによると、このクラッシュはコード実行攻撃につながる可能性がある「高リスク」のバッファオーバーフローを引き起こす恐れがあるという。

　「実際に悪用可能であることを調査して確認した上で、皆が適切な緩和策をとれるよう、この“クラッシュ”問題の真の深刻さを警告している」とeEyeのチーフハッキングオフィサー、マーク・メイフレット氏は話す。

　MicrosoftはeEyeの発見を認め、修正版の新しいIEパッチを無期限に延期すると明らかにした（関連記事参照）。

　「顧客がアップデートを広範に適用できるかどうかに影響する問題が最終テストで発見されたために、Microsoftは本日（8月22日）はMS06-042をリリースしない」と同社の広報担当者はeWEEKへの発表文で述べている。

　またMicrosoftは、この問題を「HTTP 1.1と圧縮を利用するサイトへの長いURL」として特定するアドバイザリーを公開した。

　同社は、eEyeが包括的なフィックスの提供前に脆弱性を公開したことをとがめている。

　だがメイフレット氏は、eEyeの警告には、バグの悪用につながり得る詳細な情報は含まれていないとしている。

　それどころか、Microsoftのアドバイザリーは「長いURL」を原因として挙げていると同氏は指摘する。

　「われわれは公には“長いURL”には触れていなかった。詳細な情報を公表したくなかったからだ」と同氏は語り、Microsoftがこのバグについて一番詳しい情報を公開していると指摘した。

　メイフレット氏は、問題の脆弱性はIE 6 SP1とMS06-042がインストールされたWindows 2000／XP SP1に影響するとしている。

　問題のパッチはIEのMS06-042累積セキュリティアップデートの一部としてリリースされたが、8月8日のリリース直後に、IEユーザーから特定のWebサイトを閲覧中にIEがクラッシュするという苦情が寄せられた。

　Microsoftは11日にナレッジベースの文書でこの問題を認め、HTTP 1.1プロトコルと圧縮を利用しているWebサイトでしか問題は起きないと説明した。

　MicrosoftはPSS（Product Support Services）を介して企業にホットフィックスを提供しており、また22日にIEのパッチを再リリースする予定だった。

　メイフレット氏によると、研究コミュニティーや実証コード作者の間では、今回の新しい脆弱性は既知のものだという。

　「IT管理者がこの問題の真の脅威を理解することが重要だ。これはMicrosoftの不正確な説明とは違って、単にクラッシュを引き起こすだけのバグではなく、実際は悪用可能なセキュリティバグであるということが重要なのだ」（同氏）

　「研究者や実証コード作者はそれを知っている。従って、IT管理者に実際に何が起きているかを伝えることは非常に大事だ」と同氏は付け加えた。

　同氏は影響を受けるIEユーザーに、同ブラウザのHTTP 1.1機能を無効にするよう進めている。

　また同氏は、Windowsユーザーはこの脆弱性に対処するためにSP2にアップグレードするようにと提案している。

　Windows XP SP1のサポートは2006年10月に終了する（6月9日の記事参照）。

原文へのリンク