［北米］
OutlookやInternet Explorerに新たなセキュリティー・ホール発見

（2005年09月08日）

　米国マイクロソフトは、OutlookやInternet Explorerが影響を受ける、新たなハイ・リスクのセキュリティー・ホールを調査中だと述べている。同社に報告されたが未修正のままになっている重大なバグの数がまた増えた。一方、米国シスコシステムズは、同社のルータOSに新たに見つかったハイ・リスクのセキュリティ･ホールを塞ぐ修正コードをリリースした。

　シスコは9月7日、同社の「Cisco IOS」に新たに深刻なセキュリティ･ホールが見つかったことを報告し、そのホールを塞ぐ修正コードをリリースした。

　この問題は、Cisco IOSの特定バージョンに含まれる、Telnetセッション機能とFTP用のファイアウォール認証プロキシに関係するもので、ユーザー認証のための証明情報を処理するプロセスにバッファ・オーバフローの脆弱性が存在しており、DoS(サービス不能化）やシステム上での不正なコード実行などのリモート攻撃に利用されるおそれがある。

　この問題の影響を受けるCisco IOSのバージョンには、IOS 12.2ZH、12.2ZL、IOS 12.3、IOS 12.3T、IOS 12.4、IOS 12.4Tが含まれ、影響を受けないと確認されたバージョンには、IOS XRと、IOSの12.2およびそれ以前のバージョン、たとえば12.0Sなどのバージョンが含まれる。

　一方、マイクロソフトが調査中なのも、新たなバッファ・オーバフローの脆弱性である。システム上で攻撃者が悪意のコードを実行するのを許すおそれがあるこのセキュリティ・バグの存在は、米国イーアイ・デジタル・セキュリティが先週指摘したという。

　このバグは、Windows 2000またはService Pack 1（SP1)を適用したWindows XPに当初からインストールされているOutlook、Outlook Express、Internet Explorer（IE）に影響することが確認されているが、それ以外のバージョンのWindowsに影響する可能性もある、とイーアイは述べている。

　マイクロソフトは、この問題を現在調査しており、セキュリティ更新プログラムを今後公開する可能性があるとしている。同社によると、この欠陥を利用した攻撃はまだ報告されていない。

　未パッチのバグの危険性を最小限に抑制するために、イーアイは、その問題が修正されるか、回避策のテストをベンダーが完了するまで、最小限の情報しか公開しない。しかし、マイクロソフト製品についてイーアイや他のセキュリティ対策会社が報告した危険度の高いバグで未パッチのものはかなりの数にのぼっており、報告日が数カ月前に遡るものも複数ある。

　イーアイだけでもマイクロソフトの修正を待っているバグ報告が9件あり、最も古いものは3月末の報告だという。それらのバグのほとんどは危険度が高く、Internet Explorer、Outlookなどのソフトウェアや、システム・レベルのソフトウェアに影響する。また、マクロメディアとリアルネットワークスのソフトウェアにも、危険度の高い未パッチのバグが合計3件ある、とイーアイは述べている。

　セキュリティ研究者たちは、攻撃者がセキュリティ・バグを見つけるのは研究者が見つけるのと同じくらい簡単なはずだとして、通常は、最初に報告してから数週間以内に修正することをベンダーに勧告している。

(Originally reported by Matthew Broersma, Techworld (UK) 09/07-08/2005)

(Techworld (UK))