米Microsoftのセキュリティ・チーム「Microsoft Security Response Center(MSRC)」は現地時間6月9日,Windows 98/98SE/Me用“緊急パッチ”の公開を7月11日(日本時間7月12日)で終了することを改めて告知した。同時に,4月に公開したセキュリティ情報のWindows 98/98SE/Me用パッチをリリースしないことを明らかにした。
同社は,深刻度が最悪の「緊急」である脆弱性(セキュリティ・ホール)については,Windows 98/98SE/Me用の修正パッチ(セキュリティ更新プログラム)を「Windows Update」を通じてのみ提供してきた。しかし,これらのサポートが終了するため,修正パッチが提供されるのは7月の“月例セキュリティ情報公開日”が最後になるとして,改めて注意を呼びかけた(マイクロソフトの情報)。これ以降は,いかに危険な脆弱性が見つかろうとも,修正パッチは一切提供されない。
また,4月に公表された「Windowsエクスプローラの脆弱性により,リモートでコードが実行される (908531) (MS06-015)」のWindows 98/98SE/Me用修正パッチを提供しないことも明らかにした。「MS06-015」はWindows 98/98SE/Meも影響を受け,深刻度が「緊急」だったため,Windows Updateを通じて修正パッチを提供するとしていた(関連記事:IEの修正パッチがようやく公開)。
しかしながら,詳細に調査した結果,エクスプローラ(Windowsエクスプローラ)のアーキテクチャがWindows 2000以降では大きく変わったため,Windows 2000以降を対象にした手法では脆弱性を解消できず,解消するためにはWindowsに大きく手を加えなければならないという。そうすると,既存のアプリケーションが正常に動作しなくなる恐れがあるので,結局,修正パッチの提供を見送ったとする。
このためMSRCでは,この脆弱性を悪用されないように,Windows 98/98SE/Meマシンは回避策を施した環境(例えば,TCPポート139/445をブロックするファイアウオールの後ろ)で利用するよう強く勧めている。回避策については,セキュリティ情報「MS06-015」の「『Windowsシェルの脆弱性』の回避策」の項に記載されている。
◎参考資料
◆Windows 98, 98SE and ME: Information about Support Lifecycle and MS06-015
◆サポート技術情報「Windows 98,Windows 98SEおよびWindows Meのサポートが2006年7月11日に終了します」
◆Windowsエクスプローラの脆弱性により,リモートでコードが実行される (908531)(MS06-015)
