Windows URI処理の脆弱性問題、セキュリティ研究家が非公式パッチを公開

 Windows URI(Universal Resource Identifier)処理の脆弱性が先週明らかになったのを受け、これに対するパッチを、当のMicrosoftよりも先に、イタリア在住のセキュリティ研究家が公開した。ただし同氏は、検証が十分ではないとして、パッチ適用には十分注意してほしいと語っている。

 非公式のパッチを公開したのは、イタリア在住のセキュリティ研究家KJKハイペリオン氏(通称ハックバニー)。同氏は10月14日、Webサイトとセキュリティ・メーリング・リスト「Full Disclosure」に、16KBのパッチへのリンクを投稿した。

 このパッチは「ShellExecuteFiasco」と呼ばれ、不正なURLの実行を防ぐとともに、有効なURLを正規化する。URLの正規化とは、URLをすべて小文字に変更したり、アドレスの「www」部分をはぎ取ったりする作業であり、重複ページのインデクシング(索引付け)を減らすため検索エンジンに使われている手法だ。

 KJK氏は、この修正パッチを適用する際は自己責任で行うよう警告しており、添付のメモにこう記している。「現パッチはほとんどテストされておらず、品質保証の手順もいっさい踏んでいないため、適用には最大限の注意を払ってほしい。誤動作してシステムが使えなくなる可能性が非常に高いからだ」

 同パッチは、Microsoftが先週明らかにしたURIの脆弱性を対象としたものだ。同社のセキュリティ部門は10日、Windows XPまたはWindows Server 2003上でInternet Explorer 7ユーザーが悪意あるリンクをクリックすると、攻撃者にシステムを乗っ取られる可能性があるとして注意を喚起していた。

 Microsoft Security Response Center(MSRC)のディレクター、マーク・ミラー氏は先週、「(パッチ配布は)通常の製品アップデート・プロセスの一環として行い、準備が整ったら早急にリリースする」と語っている。だが、具体的なスケジュールについてはまだ明らかにしていない。

 Microsoftは従来から、KJK氏が投稿したようなサードパーティ製のパッチに懐疑的な見方を示している。今回の件について同社にコメントを求めたが、すぐに回答を得ることはできなかった。だが同社は過去に、同社が公式に認めていない修正パッチを適用しないようユーザーに注意を促してきた。

 米国Symantecも15日、セキュリティに関する同社の早期警告サービス「DeepSight」ネットワークの顧客向けに、同様の警告を発した。Symantecでは、この修正パッチの整合性をまだ検証できておらず、「サードパーティの修正パッチを使うときは最大限注意してほしい」と述べている。

(グレッグ・カイザー/Computerworld オンライン米国版)

提供:Computerworld.jp