セキュリティ・ベンダーの米eEye Digital Securityは米国時間8月1日,WindowsやInternet Explorer(IE)が影響を受けるセキュリティ・ホール(脆弱性)を発見したことを公表した。詳細については未公表だが,セキュリティ・ホールを突かれるとパソコン上で悪質なプログラム(ボットなど)を実行される可能性がある。これで,同社が発見した米Microsoft製品のセキュリティ・ホールのうち,パッチ未公開のものは合計6件になった(8月2日時点)。
eEye Digital Securityでは,ソフトウエア製品にセキュリティ・ホールを見つけると,そのベンダーに報告するとともに同社の「Upcoming Advisories」ページで公表する。ただし,公表するのは概要のみ。影響を受ける製品や影響の大きさ,該当ベンダーに報告した日だけを公表している。加えて,報告日から現在までの経過時間をグラフで表示している。ベンダーに“プレッシャ”をかけるためだと考えられる。
ベンダーが対応するまで(パッチや修正版を公開するまで)グラフは伸び続ける。報告日から30日まではグラフの色は「緑」だが,それ以降は「黄」に変わり,60日を超えると「赤」になる。「赤」なってからの日数は「Days Overdue(延滞日数)」として表示される。同社では,ベンダーが対応策を公表し次第,「Upcoming Advisories」ページから削除するとともに,より詳しい情報をAdvisoryとして公表する。
eEye Digital Securityが発見したMicrosoft製品のセキュリティ・ホールのうち,現時点で修正パッチが公開されていないのは以下の6件。
整理番号 | ベンダーへの報告日 | 影響を受ける製品 | 危険度 | 延滞日数 |
---|---|---|---|---|
EEYEB-20050329 | 3月29日 | IEやOutlookなど | High(高) | 65日 |
EEYEB-20050505 | 5月5日 | IEやOutlookなど | High(高) | 28日 |
EEYEB-20050510 | 5月10日 | IEやOutlookなど | High(高) | 23日 |
EEYEB-20050627 | 6月27日 | Windows 2000/2003/XP | High(高) | 0日 |
EEYEB-20050708 | 7月8日 | Windows 2000 SP4/2003/XPなど | High(高) | 0日 |
EEYEB-20050801 | 8月1日 | IEやWindows 2000/2003/XP/XP SP1 | High(高) | 0日 |
いずれも,任意のプログラムを実行させられる可能性がある危険なセキュリティ・ホールである。詳細については公表されていないので,これらが既に悪用されている可能性は低い。とはいえユーザーとしては,「信頼できないサイトにはアクセスしない」「IEなどのセキュリティ設定をできるだけ厳しくする」「セキュリティ・ソフトを利用する」といった基本的なセキュリティ対策でリスクを小さくしたい。また,Microsoftからパッチが公開され次第,できるだけ早急に適用したい。
なおeEye Digital Securityでは,米RealNetworksのRealPlayerや米Micromedia製品に見つかったパッチ未公開のセキュリティ・ホールについても,「Upcoming Advisories」ページで公表している。
◎参考資料
◆Upcoming Advisories(米eEye Digital Security)
(勝村 幸博=IT Pro)