Windowsのセキュリティ問題、最新パッチでは修正されず

Matt Hines (CNET News.com) 2005年01月25日 11時55分

  • このエントリーをはてなブックマークに追加

 セキュリティ対策を専門とするGeCad Net(本社:ルーマニア、ブカレスト)によると、Microsoftが先にリリースしたWindows用の最新パッチに問題が見つかったという。

 同社は、Microsoftが今月公開したMS05-001という「緊急レベル」のパッチでは、WindowsにあるHTML Help ActiveXコントロール関連のセキュリティ問題が完全には解決しないことを明らかにした。Microsoftは、この問題の影響を受けるコンピュータに攻撃者がスパイウェアなどの悪質なプログラムを挿入し、これを実行する危険性に対処するために、他のセキュリティアップデートとともに、このパッチを配布していた。

 このパッチは、HTML Help ActiveXコントロールの脆弱性の悪用につながる、いわゆるアタックベクトル(短所)の少なくとも1つに対応していない、とGeCadは述べている。同社は、2003年に自社のウイルス対策ソフトウェア部門をMicrosoftに売却している。

 Microsoft関係者は米国時間24日、同社がGeCadから報告のあったセキュリティホールの修正作業にすでに着手していると述べ、また当初報告された問題は1月のパッチで修正されている点を強調した。 

 「HTMLのヘルプコントロールに関するWindowsの脆弱性については、対応するアップデートを公開しており、当初公表された脆弱性もこのアップデートが対処する」(Microsoft関係者)

 Microsoftはさらに、同社がこのパッチで潜在的なセキュリティホールを見落としたとの見方を否定し、この問題はHTML Helpコントロールに新たに見つかった欠陥であり、先のアップデートでは対応しなかったものだ、と述べている。

 「Microsoftは、今回公表されたセキュリティホールを、すでに対処したものとは異なる脆弱性だと認識している。この脆弱性を悪用すると、HTML Helpコントロールを使ってユーザーのコンピュータ上でコードを実行できてしまう」(Microsoft関係者)

 Microsoftは、この修正パッチが2月の月例リリースよりも前に公開されるかどうかについては言及しなかった。

 GeCadは今のところ、「セキュリティ上の理由」からこの攻撃手法に関する技術的な詳細は明らかにしない方針だとしている。Microsoftは過去に、同社がパッチを用意する前に欠陥に関する情報を明らかにしたセキュリティ研究者らと衝突したことがある。

 GeCadによると、コンピュータが最新のセキュリティパッチや、Windows XP Service Pack 1もしくはWindows 2000 Service Pack 4でアップデートされている場合に、この攻撃を受ける可能性があるという。同社はまた、MicrosoftのWindows XP Service Pack 2でアップデートすると問題を回避できるようだとしている。

 Microsoftは2003年にGeCad Softwareを買収したが、このウイルス対策ソフトウェア開発事業を売却したGeCadでは、その後セキュリティ関連の研究およびコンサルティングビジネスを続けている。Microsoftは今年中に独自のウイルス対策ソフトウェアをリリースすると見られている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化