【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
マイクロソフト、パッチ未公開のIEバグへの緊急対応を検討
(2006年03月28日)
米国マイクロソフトの「Internet Explorer(IE)」ブラウザの脆弱性を狙った攻撃が相次ぎ、この脆弱性のフィックスが2週間先まで提供されないことに不満を持つユーザーが多いことから、同社は現在、セキュリティ・アップデートをより迅速に提供する方法を検討中という。
セキュリティ対策ベンダーのウェブセンスによれば、IEで見つかった最新の脆弱性を活用したコードは先週から出回り始め、これまでに不正にエンコードされたWebサイトが数百件見つかっているという。
マイクロソフトはこの問題のパッチを4月11日に提供する予定だが、セキュリティ・コミュニティでは、同社は深刻な脅威への対応が遅すぎるとの批判の声も上がっている。
セキュリティ・コンサルタントのトッド・タウルズ氏によれば、マイクロソフトは通常、毎月第2火曜日にセキュリティ・フィックスをまとめて提供しているが、何層ものセキュリティ・レイヤーで保護されている企業ユーザーとは異なり、一般のホーム・ユーザーにとっては対応が遅すぎる場合が少なくない。
マイクロソフトのセキュリティ対策センターのプログラム・マネジャー、スティーブン・トゥールーズ氏によれば、同社は現在、よりスピーディにセキュリティ・アップデートを提供する方法を検討中という。ただし、現時点ではセキュリティ・アップデートのベータ版をリリースする計画はない。
同氏によれば、まず何より重要なのは品質管理の問題だという。マイクロソフトはセキュリティ・アップデートが広範なプラットフォームで実に動作するようにしなければならないからだ。しかも、そうしたプラットフォームの多くは世界各地でそれぞれ変更が加えられている。
マイクロソフトは、商用ソフトウェアについてはベータ・プロセスをうまく運用しているが、それがそのままセキュリティ・アップデートにもあてはまるとは限らない。例えば、まだ知られていない脆弱性の早期パッチを安易に提供してしまうと、かえってハッカーに新種の攻撃方法を知らせる結果につながりかねないからだ。
今回の脆弱性を回避するには、ブラウザのActive Scripting機能を無効にするか、セキュリティ・ベンダーのイーアイ・デジタル・セキュリティやデターミナなどが提供しているパッチをインストールすればよい。ただし、「サードパーティのパッチは製品の動作を変えるため、ほかのアプリケーションとの互換性が損なわれる可能性がある」として、マイクロソフトは後者の選択肢は奨励していない。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
- 米国マイクロソフト
- http://www.microsoft.com/
