Microsoftは米国時間9月8日夜、報告されている「Windows Vista」と「Windows Server 2008」のゼロデイ脆弱性に関する正式なセキュリティアドバイザリを公開した。しかし同社は、これまでの報告とは異なり、「Windows 7」の正式版は同脆弱性の影響を受けないと述べた。
Microsoftはアドバイザリの中で、「Microsoftは、新しく公表された、Microsoft Server Message Block(SMB)の実装に潜在する脆弱性について調査中である」と述べている。「現時点では、報告された脆弱性を利用しようとした攻撃や、顧客への影響については認識していない」(Microsoftのセキュリティアドバイザリ)
同脆弱性は、攻撃者にシステムの制御を奪われる可能性があるものだが、Microsoftは、「この脆弱性を利用するほとんどの攻撃は、対象となるシステムの応答を停止させ、再起動させるものである」と述べた。
同社は、保護策の構築に使用可能な情報を提供するべく、セキュリティソフトウェアパートナーらと共同で作業中であると述べた。調査が終了次第、次の月例パッチで対応するか、必要ならば「定例外の」パッチをリリースすることにより、対策を講じるとMicrosoftは述べた。8日は、Microsoftの月例パッチのリリース日であり、8件の脆弱性に対する5件の「緊急」レベルのWindowsアップデートが公開された。
同社は、今回の最新の問題は、Windows 7のリリース候補(RC)版には影響を与えるが、2009年7月に完成している正式版には影響を与えないと述べた。また、最近完成したばかりのWindows Server 2008 R2と、「Windows XP」「Windows 2000」の両OSは影響を受けないとMicrosoftは述べた。
Microsoftは、本件とは別に先週報告された未パッチの脆弱性について、既に対応中である。こちらの脆弱性を利用した攻撃は既に検出されている。 Microsoftは、この脆弱性と今回の最新の脆弱性が、Microsoftのみに情報提供されたのではなく、一般に向けて公表されたという事実を問題視している。同社のみに情報が提供されたのならば、パッチをあてる時間があったためだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ