インテル製チップの脆弱性で、研究者がOSベンダー各社の対応を非難

Renai LeMay(ZDNet Australia) 2005年05月30日 09時59分

  • このエントリーをはてなブックマークに追加

 オペレーティングシステム(OS)ベンダーのなかには、セキュリティ上の欠陥が公開される2カ月前に通知を受けながら、いまだにその問題を解決していないところがあると、あるセキュリティ研究者が主張している。

 Colin Percivalは5月13日に行われたあるカンファレンスで、ハイパースレッディング技術を搭載したIntelのCPUに影響を与える脆弱性について、その詳細を発表した。

 この脆弱性を悪用すると、複数のユーザーが同時にログインできる設定のサーバから、パスワードなどの機密情報を盗み出せてしまう。

 FreeBSDのセキュリティチームのメンバーであるPercivalは、BSD関連のOSメーカーのほか、SCOやUbontu Linuxなどから、この問題に対する公式な回答を受け取った。しかし、LinuxベンダーのRed HatやNovell、Mandrivaらは対応が遅く、Microsoftも同様だとPercivalは述べている。

 「私がこの問題を3月のはじめに報告したことを考えると、各社はパッチを1カ月前に--この問題が5月13日に公開される前にパッチを十分テストできるように--完成させておくべきだった」(Percival)

 「私はその日に自分の論文を発表すること、そして彼らがそれまでに必ず(パッチを)準備すべきだということを各社にはっきりと示していた」ともPercivalは述べている。

 Red Hatの関係者によると、同社のセキュリティチームはこの問題の影響度を「中程度」と評価しており、この脆弱性の悪用に利用されるOpenSSLツールキットの製作者と現在パッチ作成に取り組んでいるという。

 Microsoftは現在Percivalの報告を調査中だが、現時点でこの方法を使った実際の攻撃事例は把握しておらず、同社の調査が完了するまでは行動を控えるつもりだと、同社関係者は述べている。

 またNovellの関係者は「われわれはこの問題を把握しており、現在この問題について調査を進めている」と述べている。

 Percivalは、Intelの反応も問題だとしている。同社はこの脆弱性の危険性を「非常に低い」としている。

 「Intelは(この欠陥を)単純化し過ぎている。この欠陥によって、あるマシンを利用するユーザーらが互いのデータを盗めてしまうおそれがある」(Percival)

 この問題の影響を受けるのはマルチユーザーのサーバだけだが、こうしたサーバは広く使用されている。「最も明らかな例は、大多数の小規模なEコマースサイトが利用している共有ウェブサーバだ。これらのシステムでは、この欠陥は非常に深刻だ」(Percival)

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR