ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

7月発見のIE脆弱性、未パッチのまま実証コード登場

» 2006年09月29日 11時52分 公開
[Matt Hines,eWEEK]
eWEEK

 マルウェア研究者でMetasploit Frameworkの共同創設者H・D・ムーア氏が、自身が7月に公表したMicrosoftのInternet Explorer(IE)の脆弱性がいまだに未パッチのままであり、攻撃に利用できると証明するための実証コードを公開した。

 同氏や、デンマークのSecuniaなどほかのセキュリティ研究者によると、この脆弱性はIE 6.0とWindows XP SP2を走らせているWindowsコンピュータで確認された。

 Secuniaは、この脆弱性はIEの「WebViewFolderIcon」ActiveXコントロールにおける整数オーバーフローに関連すると報告した。

 この問題を悪用すると、不正なWebサイトを使ってコンピュータのメモリを汚染したり、任意のコードを実行することが可能になる恐れがあるという。

 Microsoftの担当者にこの問題に関するコメントを求めたが、返答は得られていない。

 Secuniaはユーザーに対し、この問題を悪用した攻撃から身を守るために、信頼できるWebサイトが提供するActiveXコントロールのみを許可するようにと警告している。

 ペンテストや実証コード作成の実績でセキュリティ界で高い名声を持つムーア氏は、最近Webブラウザに注目し、設計上の欠陥を見つけるためのファジーテストツールに協力している。

 ファジーテスター(fuzzer)は、セキュリティ研究者がアプリケーションにランダムなデータを入力することで脆弱性を発見するために使っている。

 ムーア氏は7月に、IE、Firefox、Safari、Opera、Konquerorの欠陥を突く実証コードを毎日リリースするMoBB(Month of Browser Bugs)プロジェクトを立ち上げた。WebViewFolderIconの脆弱性など、その月に取り上げられた問題の多くは、ソフトメーカーが自社製品のテストにもっとファジー技術を使っていたら検出できていたものだったと同氏は主張する。

 ムーア氏が公表したIE脆弱性を修正しようとする動きは見られないものの、Microsoftは自社製品で発見された脆弱性に対処するパッチを迅速に提供することに関して、大きく前進してきた。

 9月半ばに発表されたSymantecの最新の報告書「Internet Security Report」によると、2006年上半期において、Microsoftは主要ソフトベンダーの中で最もパッチ開発の平均期間が短く、脆弱性1件当たり13日だった。

 同社がパッチを平均2週間足らずでリリースできるということは大きな進歩だ。2005年末のSymantecの調査では、問題が特定されてから修正されるまで平均30日(約1カ月)かかっていた。

 LinuxベンダーのRed Hatは1件当たり13日でMicrosoftと並んだ。2005年末の調査の28日間から短縮された。

 これに対し、Appleは問題が報告されてからパッチのリリースまで平均で37日かかっており、またHPは53日だったとSymantecの研究者は報告している。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.