編集部からのお知らせ
解説:1st ? 2nd ? 3rd ? データ活用での選択
セキュリティの懸念高まる産業用制御機器

マイクロソフトがWindows Media Playerのバグの報告に対し否定のコメント

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-12-30 10:56

 MicrosoftはWindows Media Playerの最新バージョンにコードを実行される可能性のある深刻な脆弱性が存在するという報告が公になった問題に対して水を差した。

 概念実証コードと共に発表された、任意のコードを実行できるリモートから悪用可能なバグがあると主張する情報に対し、Microsoftの広報担当者は「これは製品の脆弱性ではない」と断言した。

 Microsoftの発言全文は以下の通りだ。

 Microsoftは2008年12月25日に誤って報告されたMicrosoft Windows Media Playerに関する脆弱性の問題について承知している。Microsoftはこの申し立てについて調査を行い、製品の脆弱性ではないことがわかった。Microsoftは報告されたクラッシュは悪用することはできず、公開されたレポートで誤って述べられているような形で、攻撃者が任意のコードを実行することはできないことを確認した。

 この発言は、研究者であるLaurent Gaffie氏が発表した、リモートユーザーが対象システム上でinteger overflowを引き起こし、任意のコードを実行することができるようなWAV、SND、MIDIファイルを作成することができるという勧告の後で発表されたものだ。

 Gaffie氏はこのバグはWMP 11を含むすべてのバージョンのWindows Media Playerに影響があると主張している。

[UPDATE]  MicrosoftのSWIチームを率いるJonathan Ness氏は、このバグが悪用できない理由についての詳細情報を提供し、これは社内ですでに発見されていた問題であり、将来のサービスパックで修正される予定だと述べた。

 われわれはこの問題について、内部の検証作業ですでに発見していた。その時点で、この問題は顧客のセキュリティリスクではなく、信頼性の問題だと適切に判断された。われわれはこのようなの信頼性の問題は、将来のサービスパックやそのプラットフォームの将来のバージョンで可能な限り修正したいと考えている。例えばこの特定のバグについては、すでにWindows Server 2003 Service Pack 2では修正されている。

 Christopher Budd氏はMSRCブログ上で、Gaffie氏がこの問題を直接Microsoftに報告するのではなく、勧告を公開してしまったことについて嘆いている。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]