米Determinaのセキュリティ研究者らが2006年12月第4週遅く,全世界で「Windows Vista」の一般販売が始まるちょうど1カ月前に,同OSのバグを6件見つけたと報告した。米Microsoftによると,報告されたバグのうち特に深刻度の高い少なくとも1件を「詳細に調査中」という。
6件のうち最も重大で,Microsoftが最も気にかけている1件は,Windows Vistaに搭載されてリリースされた「Microsoft Internet Explorer(IE)7.0」のバグだ。このバグは,ロシアのプログラマからも報告された。悪用されると,Windows Vistaのユーザーが悪意のあるWebサイトにアクセスするだけで,マルウエアに感染してしまう。ただし,Windows Vistaにある多くのその他セキュリティ機能がこの種の攻撃を緩和するかどうかについては,明確でない。
Microsoft Security Response Center(MSRC)オペレーションズ・マネージャのMike Reavey氏によると,「現在のところ,この問題に関する悪用や攻撃の存在は確認していない」という。しかしリリース・スケジュールを考えると,MicrosoftはWindows Vistaの一般提供を開始するまでに,このバグや既知のバグを容易に修正できるはずだ。Windows VistaはこれまでのWindowsと同様,セキュリティ・パッチを自動的にダウンロードすることが可能な「Windows Update」「Automatic Updates」機能を備えている。
もちろん問題は,バグの存在が知れ渡るかどうかにある。Microsoftは,研究開発に5年という期間と数10億ドルの費用をかけたWindows Vistaに運命を委ねている。注目を集めるようなWindows Vistaのセキュリティ・ホールに関する話題が多く出てくると,消費者と企業のWindows Vistaアップグレード延期というリスクが生ずる。
さらに,悪意を抱くハッカーたちがWindows Vistaの弱点に関する情報提供者に5万ドルの賞金を用意しているとの情報もある。この奇妙な申し出の話は,トレンドマイクロのCTOが初めて報告したが,要求に応じて賞金をきちんと受け取れる保証は確認できなかった。
