2003年08月21日(木) 11時24分

IEとWindowsにまたも深刻なセキュリティホール（ZDNet）

　先週から今週にかけ、Windowsの脆弱性を悪用するワーム「MSBlast」とその亜種の感染が広がったが、そんな中でMicrosoftは8月20日（米国時間）、新たにInternet Explorer（IE）とWindowsに発見された、合わせて3点の深刻なセキュリティホールについてPCユーザーに警告を発した。

　同社はIE用の累積パッチをリリースした。同パッチでは、過去に発表された幾つかの脆弱性も埋められている。同社はまた、SQL Serverの脆弱性に関するアドバイザリーをリリースし直し、この脆弱性が実際は大半のWindowsユーザーに影響を与えるものであることを明らかにした。

　Microsoftセキュリティ対策センターのセキュリティプログラムマネジャー、ステファン・ツールーズ氏によると、システムにパッチを当てないユーザーは、特定の悪用コードを含む偽装WebページやHTMLメールを通して攻撃される危険がある。

　「IEに発見された脆弱性の深刻度は、Windows Server 2003を除く全プラットフォームで『緊急』に指定した」とツールーズ氏。Microsoftの深刻度評価法で「緊急（Critical）」は、最も深刻とされるレベル。ただし最近リリースされたWindows Server 2003環境下では、今回のIEのセキュリティホールの深刻度レベルはもっと低く「警告（moderate）」となっている。これはMicrosoftの深刻度評価法で下から2番目の危険度レベル。

　セキュリティソフトメーカーのSymantecは20日、MSBlastワームが約70万台のコンピュータに感染したと報告している。同ワームの亜種であるMSBlast.D（Nachi）は、18日の感染開始以降、52万5000台以上のコンピュータに感染を広げたとされる。MSBlastは、7月半ばに公表されたWindowsの脆弱性を悪用するワームだ。

　20日に警告が出された最新の脆弱性は、深刻ではあるが、ワーム作者にとっての「素材」になる可能性は、はるかに低い。このワームの犠牲になるのは攻撃者所有のWebページにアクセスした場合に限られるためだ。

　Microsoftのアドバイザリーによると、今回のIEの脆弱性は、IEがWebサーバから返されたオブジェクトのタイプをチェックしていないことと、IEのクロスドメインセキュリティモデルに問題があることが原因。

　もう一方の脆弱性は、現在サポートされているWindowsの全バージョンに影響するもの。これは当初SQL Serverの脆弱性と考えられていたが、実際には、Windowsの各種バージョンに採用されたMicrosoftのデータアクセスコンポーネント（MDAC）の問題であることが分かった。Windows Server 2003にデフォルトで含まれているMDACには脆弱性はない。ただしユーザーが脆弱性を含んだバージョンをダウンロードしている可能性はある。

　Microsoftは新たに深刻なセキュリティホールを発表することになったが、ツールーズ氏は、そんな中にも希望の光はあるとする。Windows Server 2003では、これら脆弱性から受ける深刻度が、ほかのバージョンのWindowsよりも低いことだ。

　「これは、Trustworthy Computing（信頼できるコンピューティング）戦略の進展を示す明らかな兆候だと思う。同OSのデフォルト設定は、ほかよりセキュアだ」（ツールーズ氏）（ZDNet）

http://headlines.yahoo.co.jp/hl?a=20030821-00000019-zdn-sci