米Microsoftは今週,ロシアのセキュリティ会社による「Windows XP Service Pack 2(SP2)」のぜい弱性の指摘に対して反論した。

 元々の指摘は,ロシアのセキュリティ企業Positive Technologiesにより先週,発表された。Windows XP SP2の備えるセキュリティ機能の実装に2つの「ミステイク」があり,悪意のあるハッカーがそのセキュリティ機能を回避できてしまうという。同発表は,「XP SP2に重大な欠陥がある」として広く報道された。しかし,今週のMicrosoftの反論によると,ロシア社の手法では侵入者がユーザーのシステムにおいて悪意のあるコードを実行できないので,ぜい弱性とはいえないと述べている。

 Microsoftは声明で「顧客がこれによって危険にさらされているわけではありません。この手法を利用したアタックは存在しません」と述べている。さらにMicrosoftは,問題とされているデータ実行防止(DEP)と呼ばれるセキュリティ機能は,バッファ・オーバーランと呼ばれるメモリーに不正に上書きされたコードが実行される現象を防止するためだけに設計されたものだと述べている。もし,悪意のあるハッカーがDEPをバイパスできたとしても,侵入者がシステムを危険にするのは不可能だ,としている。

 Microsoftの反論に対して,Positive TechnologiesのChief Technical Officer(CTO)であるYury Maksimov氏は,DEPのぜい弱性だけでユーザーが攻撃の危険性にさらされるわけではないことを認めたが,Microsoftがこの問題に対して何もしないことについて不満を表している。

(Paul Thurrott)

Windows IT Pro, (C)2004. Penton Media, Inc.
【IT Pro-Windows Reviewメール】を好評配信中。申し込みはこちら