10/07/07 21:12:17
脆弱性情報の開示をめぐりMicrosoftに反発するグループが、Windowsに関する未解決の脆弱性情報を
セキュリティメーリングリストに投稿した。「今後も自由時間に発見した脆弱性情報を全面開示する」と予告、
自分たちや勤務先への報復はさせないと宣言している。
脆弱性情報を開示したのは「MSRC」(Microsoft-Spurned Researcher Collective=Microsoft拒絶研究者
団体)を名乗るグループ。「セキュリティ研究者に対する敵対的な姿勢」に反発し、業界関係者などで結成した
と称している。
Microsoftは、外部の研究者などが同社の発表を待たずに未解決の脆弱性情報を公開するたびに「無責任」
と批判を繰り返しており、最近ではGoogleのセキュリティ研究者がWindowsヘルプの脆弱性情報を開示した
ことについて「ユーザーを危険にさらす行為」と非難していた。
MSRCが公開した脆弱性情報はWindows VistaとServer 2008に存在するとされる。Microsoftは現時点で
アドバイザリーなどを出していないが、デンマークのセキュリティ企業Secuniaはこの問題を確認したとして、
7月5日付でアドバイザリーを公開した。ただし危険度は同社の5段階評価で下から2番目に低い「Less critical」
となっている。
なお、これとは別にMicrosoftは5日、Windows 2000とXPの脆弱性情報について調べていることをTwitterで
明らかにした。Secuniaによれば、こちらの脆弱性は任意のコード実行に利用される恐れもあるといい、
危険度は「中」程度と評価している。
URLリンク(www.itmedia.co.jp)