脆弱性情報の開示をめぐりMicrosoftに反発するグループが、Windowsに関する未解決の脆弱性情報をセキュリティメーリングリストに投稿した。「今後も自由時間に発見した脆弱性情報を全面開示する」と予告、自分たちや勤務先への報復はさせないと宣言している。
脆弱性情報を開示したのは「MSRC」(Microsoft-Spurned Researcher Collective=Microsoft拒絶研究者団体)を名乗るグループ。「セキュリティ研究者に対する敵対的な姿勢」に反発し、業界関係者などで結成したと称している。
Microsoftは、外部の研究者などが同社の発表を待たずに未解決の脆弱性情報を公開するたびに「無責任」と批判を繰り返しており、最近ではGoogleのセキュリティ研究者がWindowsヘルプの脆弱性情報を開示したことについて「ユーザーを危険にさらす行為」と非難していた。
MSRCが公開した脆弱性情報はWindows VistaとServer 2008に存在するとされる。Microsoftは現時点でアドバイザリーなどを出していないが、デンマークのセキュリティ企業Secuniaはこの問題を確認したとして、7月5日付でアドバイザリーを公開した。ただし危険度は同社の5段階評価で下から2番目に低い「Less critical」となっている。
なお、これとは別にMicrosoftは5日、Windows 2000とXPの脆弱性情報について調べていることをTwitterで明らかにした。Secuniaによれば、こちらの脆弱性は任意のコード実行に利用される恐れもあるといい、危険度は「中」程度と評価している。
関連記事
- Windowsヘルプに未修正の脆弱性が見つかる――情報公開に批判も
- Windows 2000とXPに新たな脆弱性か? MicrosoftがTwitterで速報
- 危険な脆弱性情報公開は増加の一途――MS報告書
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.