MicrosoftはWindows Media Playerの最新バージョンにコードを実行される可能性のある深刻な脆弱性が存在するという報告が公になった問題に対して水を差した。
概念実証コードと共に発表された、任意のコードを実行できるリモートから悪用可能なバグがあると主張する情報に対し、Microsoftの広報担当者は「これは製品の脆弱性ではない」と断言した。
Microsoftの発言全文は以下の通りだ。
Microsoftは2008年12月25日に誤って報告されたMicrosoft Windows Media Playerに関する脆弱性の問題について承知している。Microsoftはこの申し立てについて調査を行い、製品の脆弱性ではないことがわかった。Microsoftは報告されたクラッシュは悪用することはできず、公開されたレポートで誤って述べられているような形で、攻撃者が任意のコードを実行することはできないことを確認した。
この発言は、研究者であるLaurent Gaffie氏が発表した、リモートユーザーが対象システム上でinteger overflowを引き起こし、任意のコードを実行することができるようなWAV、SND、MIDIファイルを作成することができるという勧告の後で発表されたものだ。
Gaffie氏はこのバグはWMP 11を含むすべてのバージョンのWindows Media Playerに影響があると主張している。
[UPDATE] MicrosoftのSWIチームを率いるJonathan Ness氏は、このバグが悪用できない理由についての詳細情報を提供し、これは社内ですでに発見されていた問題であり、将来のサービスパックで修正される予定だと述べた。
われわれはこの問題について、内部の検証作業ですでに発見していた。その時点で、この問題は顧客のセキュリティリスクではなく、信頼性の問題だと適切に判断された。われわれはこのようなの信頼性の問題は、将来のサービスパックやそのプラットフォームの将来のバージョンで可能な限り修正したいと考えている。例えばこの特定のバグについては、すでにWindows Server 2003 Service Pack 2では修正されている。
Christopher Budd氏はMSRCブログ上で、Gaffie氏がこの問題を直接Microsoftに報告するのではなく、勧告を公開してしまったことについて嘆いている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
