• UPDATED: Misleading and Incomplete Information in MS06-015 – SecuriTeam Blogs

マイクロソフトから4月のセキュリティ更新プログラムとして新規に5件が公開された。そのうちの一つMS06-015「Windows エクスプローラの脆弱性により、リモートでコードが実行される (908531)」について、SecuriTeamが批判している。主に問題にしているのはこの部分の説明だ。

MSのセキュリティ情報より抜粋

このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか？

いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?

いいえ。このセキュリティ情報が最初に公開された段階で、マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けておらず、また、公開された検証用コードのいかなる実例の存在も確認しておりません。
注: この脆弱性に対する更新プログラムは Common Vulnerability and Exposure の CVE-2004-2289 にアサインされている公開された亜種にも対応するものです。

脆弱性に関する情報は一般には知られていなかった、なのに2004年のCVEの亜種にも対応する、とは一体どういうことなのか。つまり2004年からこの脆弱性は"亜種"として一般に知られており、その後で正式にMSに対して報告されたということだ（亜種が先というのがそもそもおかしい）。それなのにこの説明はなんだ、というのがSecuriTeamの言いたいことらしい。

確かに脆弱性が広く一般に知られているのかどうか、という点はリスク判断に大きく影響する。そういう意味ではこのMSの説明は不適切と言わざるを得ないだろう。