セキュリティ・ベンダーの米eEye Digital Securityは米国時間3月16日および3月29日付けで,Internet Explorer(IE)やOutlookに危険なセキュリティ・ホールが見つかったことを明らかにした。ただし,セキュリティ・ホールの詳細については公表していない。米Microsoftからセキュリティ情報やパッチが公開するまでは,eEye Digital Securityは公表しない。
今回に限らず,eEye Digital Securityではソフトウエア製品にセキュリティ・ホールを見つけると,そのベンダーに報告するとともに,同社サイトで「Upcoming Advisories」として公表している。公表するのは,あくまでも概要のみ。影響を受ける製品や影響の大きさ,eEye Digital Securityが該当ベンダーに報告した日だけを公表している。そして,報告日から現在までの経過時間をグラフで表示している。ベンダーが対応するまで(パッチや修正版を公開するまで),グラフは伸びつづける。最初は「緑」だが,時間が経過すると「黄」になり,最終的には「赤」になる。
同社の情報によると,3月16日付けおよび3月29日付けで,IEやOutlookなどが影響を受けるセキュリティ・ホールを見つけたとしている。いずれも「Severity(深刻度)」は「High(高)」に設定されている。詳細は明らかにされていないが,悪質なコードを無理やり実行させられる危険なセキュリティ・ホールのようだ。すべてのWindowsが影響を受ける模様。
セキュリティ情報やパッチが公開されていない現状では,セキュリティのセオリーを守ることが対策となる。具体的には,「セキュリティ・ソフトを利用する」「信頼できないWebページ/HTMLメールを開かない」「信頼できないリンクやボタンなどをクリックしない」――など。Microsoftからパッチが公開されたら早急に適用しよう。4月13日が「月例セキュリティ情報」の公開日なので,同日に公開されることを期待したい。
◎参考資料
◆Upcoming Advisories
◆EEYEB-20050316
◆EEYEB-20050329
(勝村 幸博=IT Pro)
