米Microsoftは,「Internet Explorer(IE)」に存在するセキュリティ・ホールの対策としてサード・パーティ2社がリリースした“暫定”パッチに関して,「Windows自体の動作に変更を加えるものもあり,勧めることはできない」との姿勢をブログで明らかにした。
問題の脆弱性は,IEが「createTextRange()」メソッドを適切に処理できないことによるもの(関連記事)。3月22日にデンマークSecuniaなどによって明らかにされ,現在では,このセキュリティ・ホールを悪用するWebサイトがネット上に多数出現している(関連記事)。
同社は現時点で,セキュリティ・ホールをふさぐパッチをまだ公開していない。同社の次回の月例パッチ公開日は4月11日であるため,米eEye Digital Securityと米Determinaが3月27日にパッチをそれぞれ公開した(関連記事)。なお,セキュリティ組織である米SANS Instituteも,これらのパッチの適用を「推奨しない」と述べている。
Microsoft社Security Response CenterのMike Reavey氏が投稿したブログ記事では,「(セキュリティ・ホールを突く)攻撃は発生しているが,まだ急速に拡大している様子はない」と説明。また,同社が当局と協力して悪質サイトの閉鎖に尽力し,セキュリティ・アップデートに取り組んでいることを強調した。ユーザーに対しては,アンチウイルス・ソフトウエアやIDS/IPS製品を用いた防御策を講じ,同社のガイダンスに従うよう勧告している。
ちなみに米メディアの報道(InfoWorld)によると,同社Security Response Centerのセキュリティ・マネージャ,Stephen Toulouse氏は「早期にアップデートを提供する方法を検討する余地はある」と認めるものの,「現在のところ,アップデートのベータ版をリリースする予定はない」(同氏)。
