米Cigitalは米Microsoftの「Visual C++.NET」および「Visual C++ version 7」のコンパイラに設計レベルのセキュリティ・ホールが見つかったと米国時間2月14日,発表した。Visual C++.NETおよびVisual C++ version 7のコンパイラで作成した実行コードがバッファ・オーバフロー攻撃に弱いというもの。
このコンパイラは潜在的な脆弱性のあるソース・コードを,特定のバッファ・オーバフロー攻撃から自動的に保護する機能を備えている。しかしCigital社によると,保護メカニズム自体がバッファ・オーバフローの攻撃に対して弱いという。「この機能を利用した開発者は重大なセキュリティの欠陥があることに気付かないかもしれない。こうして開発されたソフトウエアが市場で利用されるようになると,クラッカー(悪意のあるハッカー)がセキュリティ・ホールを見つけ出し,何も疑わずに利用しているユーザーに被害を与える可能性がある」(Cigital社)
Cigital社CTOのGary McGraw氏は,「ソフトウエアやアプリケーションのセキュリティは,とくに設計レベルの場合,手軽に解決できる手段はない。Microsort社のバッファ・オーバフロー防止メカニズムのようなセキュリティ機能でさえ被害を招く事態に陥るという事実は,我々が直面している課題を明示している。特定の攻撃を防止するためにランタイム・コンパイラの機能に頼っていては,十分とはいえない。すべての開発者と設計者は,ソース・コードを閲覧する機能などを備えたセキュリティ・ソフトウエアを適切に導入するべきである」と警告する。
「2002年1月に,Bill Gates氏は『Trustworthy Computing』プログラムを打ち出した。しかし今回の欠陥により,安全で信頼性のあるソフトウエアの作成がどれほど困難なことかさらに明らかになった」(Cigital社社長兼CEOのJeffery Payne氏)
◎関連記事
■米マイクロソフトがWebサービス開発環境「Visual Studio .NET」「.NET Framework」を発表
■米Microsoft,開発者やテスターにセキュリティ意識の向上を要請
■米MicrosoftのGates会長,「新機能よりセキュリティを重視」と全社員にメールで宣言
■セキュリティ対策でMicrosoft製品の開発計画に遅れ
■マイクロソフトがセキュリティ・チェック・ツールの新版を公開
■決定版!「Windows XP Professional」に必要なパッチ一覧
■MSが提供する「ブラウザのセキュリティ チェック」,しかし相変わらずの情報不足
セキュリティに関する情報は総合IT情報サイト『IT Pro』の「セキュリティ」で詳しくお読みいただけます。
[発表資料へ]
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
