Windows XP SP2の欠陥にロシア企業が独自パッチ
タレコミ by Sassy
Sassy 曰く、
先月末ロシアのPositive Technologies社がWindows XP SP2に搭載されたデータ実行保護機能(DEP)の実装に見落としがあり回避できてしまう問題をMicrosoftに報告したが,一月経っても何の返事も寄こさないので自分たちでセキュリティパッチをリリース(ロシア語)したとのこと。続報によると,「ハッカーグループは既にDEPの脆弱性を突いてPCのメモリに不正コードを挿入する方法の開発に当たっている」とPositive Technologies社CEOは語ったそうだが,Microsoftによれば「DEP機能を回避する試みはセキュリティ脆弱性とはならない」し,「これまでに不正の事例はなく、同社の考えでは利用者は危険な状態にはないという」。今回「不正事例はない」とMicrosoftは語っているが,かつてIFRAMEの脆弱性が実際にバナー広告に悪用されて話題になったとき,その後出たパッチ提供ページでこの問題が悪用される可能性が高いと考えていますと書いており,既存の事例はまったく無視していたので,Microsoftの言い分はどうも信用できない。ところでMicrosoft社は過去に同社への事前通告なしに脆弱性を公表したセキュリティ研究家を非難したことがあるが,セキュリティ脆弱性にあたるかあたらないかの判断は別にしても,問題を報告してくれたセキュリティ研究家に対してもうちょっと誠意ある対応が同社にはできないものだろうか。