2006年03月29日(水) 11時00分

IEのセキュリティホールを修復する非公式パッチ、今年2度目の登場（CNET Japan）

　Microsoft以外の企業が「Internet Explorer」の深刻な脆弱性を修復するサードパーティ製パッチをリリースしたが、セキュリティ専門家はMicrosoftのものではないパッチは慎重に扱うようユーザーに呼びかけている。

　侵入検知製品を提供しているDeterminaは米国時間3月27日、Microsoftのウェブブラウザ用の非公式パッチを公開した。その直前には、eEye Digital Securityも 独自の暫定パッチ を発表していた。

　どちらのパッチも、最近明らかになったIEの脆弱性を悪用する攻撃から、Windows PCを守るためのものだ。この脆弱性に対するMicrosoftの修復パッチは、まだ提供されていない。Microsoftは両社のパッチについて、規則として外部の修復プログラムをインストールすることは推奨していないと述べ、どちらも承認しなかった。

　第三者がMicrosoftに先んじてセキュリティパッチをリリースするのは、2006年はこれが2度目となる。前回は、 ヨーロッパの研究者が発表したパッチ をセキュリティ専門家も支持していた。ところが今回は、専門家らは非公式なパッチの適用は勧められないと話している。

　ユーザーは Microsoftの指示 に従い、IEの「Active Scripting」機能を無効にするか、他社のウェブブラウザを使用するかして、一時的な対策を取るべきだというのが、専門家らの考えだ。

　SANS InstituteのチーフリサーチオフィサーJohannes Ullrich氏は、「現時点では、これらの暫定パッチを適用することは推奨していない」と述べ、IEのActive Scripting機能を利用する必要がある場合にのみ、非公式ソリューションの採用を検討すればよいと話している。

　問題の脆弱性は、IEがウェブページ内の「createTextRange()」というタグを処理する方法と関係するものだ。同脆弱性が公表されたのは先週だが、それ以降、この脆弱性を悪用するウェブサイトが200件以上も発見されたという。こうしたサイトは通常、スパイウェアやリモートコントロールソフトウェア、トロイの木馬などを脆弱なPCにインストールすると、セキュリティ企業Websenseは述べている。

　ドイツのマグデブルク大学に所属するウイルス対策ソフトウェアの専門家Andreas Marx氏は、今回のIEのセキュリティ問題がおよぼす影響は深刻だが、やはりサードパーティのパッチは必要ないという考えを持っている。「個人的には、このパッチを適用するつもりはない。IEを使わなければ危険はないわけだし、IEを使う場合でも、Active Scriptingを無効にすればよいのだから」（Marx氏）


この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

関連記事
IE修正用の暫定セキュリティパッチ、サードパーティが先に公開 - 2006/03/28 13:16
マイクロソフト、IE用パッチの即時リリースを検討--悪質なコードの流出に対応 - 2006/03/27 11:01
IEのセキュリティホールを狙う危険なコードがネットに流出 - 2006/03/24 14:52
マイクロソフト、2月の月例パッチをリリース--WMFの脆弱性を含む7件の問題に対応 - 2006/02/15 13:15
マイクロソフトを出し抜いた話題のロシア人開発者 - 2006/01/12 14:57
WMF問題の非公式パッチサイト、Windowsユーザーが殺到--アクセスが一時不能に - 2006/01/05 11:03

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20060329-00000003-cnet-sci