オペレーティングシステム(OS)ベンダーのなかには、セキュリティ上の欠陥が公開される2カ月前に通知を受けながら、いまだにその問題を解決していないところがあると、あるセキュリティ研究者が主張している。
Colin Percivalは5月13日に行われたあるカンファレンスで、ハイパースレッディング技術を搭載したIntelのCPUに影響を与える脆弱性について、その詳細を発表した。
この脆弱性を悪用すると、複数のユーザーが同時にログインできる設定のサーバから、パスワードなどの機密情報を盗み出せてしまう。
FreeBSDのセキュリティチームのメンバーであるPercivalは、BSD関連のOSメーカーのほか、SCOやUbontu Linuxなどから、この問題に対する公式な回答を受け取った。しかし、LinuxベンダーのRed HatやNovell、Mandrivaらは対応が遅く、Microsoftも同様だとPercivalは述べている。
「私がこの問題を3月のはじめに報告したことを考えると、各社はパッチを1カ月前に--この問題が5月13日に公開される前にパッチを十分テストできるように--完成させておくべきだった」(Percival)
「私はその日に自分の論文を発表すること、そして彼らがそれまでに必ず(パッチを)準備すべきだということを各社にはっきりと示していた」ともPercivalは述べている。
Red Hatの関係者によると、同社のセキュリティチームはこの問題の影響度を「中程度」と評価しており、この脆弱性の悪用に利用されるOpenSSLツールキットの製作者と現在パッチ作成に取り組んでいるという。
Microsoftは現在Percivalの報告を調査中だが、現時点でこの方法を使った実際の攻撃事例は把握しておらず、同社の調査が完了するまでは行動を控えるつもりだと、同社関係者は述べている。
またNovellの関係者は「われわれはこの問題を把握しており、現在この問題について調査を進めている」と述べている。
Percivalは、Intelの反応も問題だとしている。同社はこの脆弱性の危険性を「非常に低い」としている。
「Intelは(この欠陥を)単純化し過ぎている。この欠陥によって、あるマシンを利用するユーザーらが互いのデータを盗めてしまうおそれがある」(Percival)
この問題の影響を受けるのはマルチユーザーのサーバだけだが、こうしたサーバは広く使用されている。「最も明らかな例は、大多数の小規模なEコマースサイトが利用している共有ウェブサーバだ。これらのシステムでは、この欠陥は非常に深刻だ」(Percival)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
