Windows WMF脆弱性に対し、2つ目の非公式パッチ公開

2006/1/6

 Windows OSに存在するWindows Metafile(WMF)脆弱性に対し、2つ目の「非公式パッチ」が公開された。

 セキュリティ企業のESETは1月4日付けで、WMFの脆弱性を修正する非公式の「暫定パッチ」の提供を開始した。この暫定パッチは同社Webサイトよりダウンロードできるが、ファイルの詳細についての説明はない。

 ESETは、アンチウイルスソフトウェア「NOD32」の開発元として知られている。同社はプレスリリースの中で、「マイクロソフトのOSやソフトウェアは広く普及しているため、非常に多くのユーザーがWMFの脆弱性の影響を受けやすい状態にある」と述べ、脆弱性がこれ以上広がらないようにするため「速やかに予防措置を取るよう推奨する」としている。

 WMFファイルの処理に関する脆弱性は、12月末に明らかになった直後からゼロデイ攻撃にさらされてきた。わずか数日の間に、インスタントメッセンジャー経由で拡散するワームに転化したほか、脆弱性を悪用してトロイの木馬などをダウンロードさせる攻撃Webサイトが複数確認されている。

 これを受けてマイクロソフトは、1月10日に予定されている月例パッチの中で、この脆弱性を修正する方針を明らかにした。またそれまでの回避策として、「Windows画像とFaxビューア」のDLLファイル「Shimgvw.dll」の登録を無効にするという手段を紹介している。

 しかしセキュリティ専門家は、すでにさまざまな形で脆弱性が悪用され、攻撃されている現状を踏まえると、マイクロソフト側の対応は遅いと指摘してきた。

 ESETに先立ち、セキュリティ専門家のIlfak Guilfanov氏も非公式パッチを作成、公開した。米SANS Instituteやセキュリティ企業のF-Secureは、深刻な状況を踏まえ、マイクロソフトの回避策とともにこの非公式パッチを適用するよう推奨している。

 マイクロソフトは、これら非公式パッチの存在は認めながらも、更新したアドバイザリの中で「1月10日に予定されているセキュリティアップデートをダウンロードし、適用することを推奨する」と述べている。

 「原則として、ソフトウェアの脆弱性については、オリジナルベンダから提供されるセキュリティアップデートを利用することが最善の方法だ。自身のソフトウェアに関してマイクロソフトは、高い品質を備え、完全なアプリケーション互換性を保つよう保証するため、慎重に評価とテストを進めている」(マイクロソフトの英文のセキュリティアドバイザリ)。サードパーティ製セキュリティアップデートには同じような保証は提供できないという。

 セキュリティ関連メーリングリストでも、マイクロソフト以外の非公式パッチを適用することで、新たなリスクが生じる可能性について議論されている。「サードパーティ製のパッチを適用することにより、新たな厄介を抱え込む可能性がある」「管理者としては、ウイルス対策ソフトの対応などほかのリスク緩和要因も考慮しながら、リスクマネジメントを行うべき」といった意見が交わされている。

(ITmedia 高橋睦美)

[関連リンク]
マイクロソフト セキュリティ

[関連記事]
Webシステム・セキュリティの責任は誰に? (@ITNews)
「ユーザー企業は声を上げよ」―― 山口セキュリティ補佐官 (@ITNews)
セキュリティ対策活動の成果を誇示するマイクロソフト (@ITNews)
Windows Vistaで語るべき、3つのセキュリティ機能 (@ITNews)
チェック・ポイントに聞く、内部セキュリティ対策が必要な訳 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)