Googleのエンジニアが米国時間6月10日、「Windows XP」の脆弱性を公表し、さらにそのエクスプロイトコードを公開した。Microsoftは5日間の修正期間しか与えらなかったことに対し、Microsoftや外部のセキュリティ研究者らは、Microsoftが推奨している責任ある開示の慣習に従っていないとして非難した。
Tavis Ormandy氏は5日、顧客にテクニカルサポートを提供するオンラインの「Windowsヘルプ」および「サポートセンター」機能に脆弱性が存在することを、Microsoftに報告した。その後同氏は10日に、「Full Disclosure」セキュリティメーリングリストへの投稿において、脆弱性の詳細を公表し、概念検証用のコードを公開した。
同氏は、「動作するエクスプロイトなしで(本件を)報告すれば、無視されていたであろうことを指摘したい」と記してから、同氏の行動は独自の判断に基づくものであり、Googleを代表したものではないと述べた。「このドキュメントはわたし自身の意見を書いたものであり、誰かの代わりに、または誰かを代表しての発言ではない」(Ormandy氏)
しかしMicrosoftは、Microsoftにパッチを当てる時間を与えずにエクスプロイトを一般に公開するのは無責任な行動であり、それによって膨大な数のコンピュータユーザーが危険にさらされると述べている。
MicrosoftのJerry Bryant氏は、Microsoft Security Response Center(MSRC)のブログ投稿に、「責任ある開示は、コンピュータのエコシステムと個々のコンピュータユーザーを被害から保護するものである」と記した。
Microsoftのセキュリティアドバイザリによると、攻撃者はこの脆弱性を利用することにより、ホワイトリストフィルタを回避し、Windows XPまたは「Windows Server 2003」の動作するコンピュータを脆弱性を悪用したウェブサイトへと誘導して、コンピュータの制御を奪うことができるという。Microsoftは声明で、「広範囲にわたる攻撃の恐れがある」と述べた。
さらにOrmandy氏によると、すべての主要なブラウザが影響を受けるという。
Microsoftは、アドバイザリで回避策を提供し、パッチを作成中であると述べた。Ormandy氏も、脆弱性の公表とともにホットフィックスツールを提供したが、そのツールは適切に動作しないとMicrosoftは述べた。
MSRCディレクターを務めるMike Reavey氏はブログで、「われわれや業界全体の多くの人々が責任ある開示を推奨する主な理由の1つは、コードを作成したソフトウェアベンダーが、根本原因を完全に把握するのに最も適した立場にあるからである」と記している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。