セキュリティ・ベンダーの米SecurityTrackerは米国時間2月15日(以下,日付はすべて米国時間),Internet Explorer(IE)5 にパッチ未公開のセキュリティ・ホールが見つかったことを公表した。細工が施された画像ファイル(ビットマップ・ファイル)を開くと,中に仕込まれた任意のプログラムを実行させられる恐れがある。このセキュリティ・ホールは,流出したWindowsのソース・コードを調べた結果,発見されたという。IE 6にはこのセキュリティ・ホールはない。

 Windows 2000とWindows NT 4.0のソース・コードの一部が,2月12日以降インターネットに流出している。流出したWindows 2000のソースにはIE 5などの,NT 4.0のソースにはIE 4などのソースも含まれているという。SecurityTrackerの情報によると,セキュリティ・ホールの発見者は,流出したWindows 2000のソース・コードを入手して調べた結果,今回のセキュリティ・ホールを見つけたという。セキュリティ・ホールの発見者は,同社とは関係がない人物。このセキュリティ・ホールを検証するコード(Exploit)も公開されている。

 米Microsoftは2月12日,ソース・コードが流出したことを認めるプレス・リリースを公開した。2月16日付けで更新された同リリースには,同社が2月16日に,ソース・コードで発見されたIEのセキュリティ・ホール(Exploit)に関する調査を開始したことが追記されている。明記されていないものの,この記述はSecurityTrackerが公開したセキュリティ・ホールを指していると考えられる。

 同社によれば,このセキュリティ・ホールは同社内部で既に発見されているもので,IEの最新版であるIE 6 SP1では修正されているという。同社は同リリースにおいて,IE 6 SP1にアップデートすること,Windows Updateでセキュリティ・パッチをきちんと適用することを呼びかけている。

◎参考資料
Statement from Microsoft Regarding Illegal Posting of Windows Source Code(米Microsoft)
Microsoft Internet Explorer Integer Overflow in Processing Bitmap Files Lets Remote Users Execute Arbitrary Code(米SecurityTracker)
NT/W2K Source leak(Windows NTBugtraq Mailing List)

(勝村 幸博=IT Pro)