米MicrosoftはMicrosoft Security Response Center(MSRC)ブログへの投稿記事で米国時間2008年12月29日,先日公開されたコンセプト実証(PoC)コードはメディア・プレーヤ・ソフトウエア「Windows Media Player(WMP)」をクラッシュさせるだけで,遠隔コード実行につながらないとする調査結果を発表した。
あるセキュリティ研究者が12月24日,WMPの全バージョンに存在する可能性のあるバグを指摘し,公開メーリング・リストにPoCを投稿した。その後「このバグは遠隔コード実行に悪用可能」と主張する組織が現れた。
これを受けてMSRCチームは調査を実施し,このPoCは確かにWMPをクラッシュさせるが,遠隔コード実行の恐れはないとの結論を出した。クラッシュしたWMPはすぐに再起動可能な状態になり,Windowsシステム本体は何も影響を受けないという。同社は原因となる問題を既に「Windows Server 2003 SP2」で解決しており,今後ほかのシステムでも対策する予定。
同社は,セキュリティ研究者が同社に報告することなく情報を公表したため,混乱が生じたとしている。こうした状況を避けるため,まず問題を同社に通知するようブログで呼びかけた。
米メディア(CNET News.com)によると,今回の問題の発端は,セキュリティ研究者のLaurent Gaffie氏がメーリング・リスト「Bugtraq」に投稿した記事。同氏は「WMP 9」「同10」「同11」にセキュリティ・ホールが存在すると指摘したという。
