この脆弱性について、脆弱性が17年前から存在するという事実が大きく取り上げられてきたが、Ormandy氏は、2009年6月にこの件をMicrosoftに知らせたと述べた。「Zero Day Initiative」を運営するPedram Amini氏は、「バグを修正するのに長い時間をかけたと批判することは可能だ」が、Microsoftがそれを認識していなかったのなら批判できないと述べた。
MicrosoftのBryant氏のブログによると、同社は概念実証コードが公開されていることを認識しているが、現時点ではこの脆弱性を突く攻撃を確認していないという。
深刻度が「重要」とされたセキュリティ情報2件は、旧バージョンの「Microsoft Office」に影響する。攻撃者は、「PowerPoint」の脆弱性を突くか、特別に細工されたOfficeファイルを経由して、リモートからコンピュータ上でコードを実行できるようになる可能性がある。
セキュリティ情報のページによると、この2件の影響を受けるのは、Windows 2000、Windows XP、Windows Vista、「Windows 7」、Windows Server 2003、Windows Server 2008、「Office XP」「Office 2003」「Office 2004 for Mac」だという。
Microsoftはまた、TLS(Transport Layer Security)およびSSL(Secure Sockets Layer)プロトコルの広く知られている脆弱性に関して、回避策を提供するセキュリティアドバイザリを公開した。
Microsoftはさらに、「Windows Malicious Software Removal Tool(悪意のあるソフトウェアの削除ツール)」をアップデートして、ワーム「Win32/Pushbot」に対処した。このワームは、「MSN Messenger」や「AOL Instant Messenger(AIM)」を通じて感染を広げ、バックドアを開けて、攻撃者によるマシンの制御を可能にする。
Microsoftは、2月3日に明らかになったデータ漏洩につながる可能性があるIEの脆弱性と、2009年11月に明らかになったSMBの脆弱性については、依然として修復パッチに取り組んでいる。
Microsoftは声明で次のように述べた。「(SMBの)問題は、攻撃者がリモートでシステムを制御するのに使うことはできない。だが代わりに、リソース消費によってシステムが反応しなくなる可能性がある。現時点では、当社はこの脆弱性を突いた攻撃を確認していない」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
