Microsoft、4月の月例更新でようやく懸案の脆弱性修正へ

Microsoft (NASDAQ:MSFT) は6日、4月の月例更新に関する先行情報を発表した。個別セキュリティ情報は5件公開する予定で、その中の1つは、Web ブラウザ『Internet Explorer』(IE) の「createTextRange()」メソッドに関する脆弱性に対応したものになる。4月の月例更新は、11日に行なう予定だ。

同脆弱性については、すでに悪用例が広く出回っており、Microsoft は月例スケジュール外で対応せざるを得ないのではと、数週間前から話題になっていた。しかし今回の先行情報発表により、ほかのセキュリティ更新と共に11日に正式対応ということになった。

個別セキュリティ情報5件の内訳だが、『Windows』に関するものが4件で、その内の1件が IE の累積的な修正だ。この累積修正によって「createTextRange()」メソッドの脆弱性に対応する。Windows 関連4件を通した最大深刻度は、最上位の「緊急」となっている。残りの1件は『Microsoft Office』に関するセキュリティ情報で、こちらの深刻度は下から2番目の「警告」だ。

「createTextRange()」メソッドの脆弱性に対しては、Microsoft の正式な修正プログラム提供を待たず、サードパーティ2社が一時的な対応策として独自のパッチを公開していた。同脆弱性の正式対応期日は11日となった訳だが、この件は非公式パッチを適用するのと、Microsoft のゆっくりした対応を待つのと、どちらが得策なのか考えさせられる問題となった。

なお Microsoft は、先だって自動更新サービス『Windows Update』を通じ、IE における『ActiveX』コントロールの取り扱い方法を変更する更新プログラムの配布を開始していたが、4月の月例更新で提供する IE の累積的更新には、これも含める。ActiveX の取り扱い方法変更は、同社が Eolas Technologies の埋め込みプログラム特許訴訟で敗訴した結果行なったもので、ActiveX コントロールを含む特定の Web サイトにおいて、ユーザーが手動で有効化しない限り、同コントロールを操作できなくなる。

これに関連し、Microsoft は4月の月例更新と同時に、ActiveX 処理方法の互換性維持用パッチの配布も開始する。同パッチは、一時的に ActiveX の処理方法を以前の状態に戻すもので、企業など新しい処理方法に対応するまで時間を要する組織を対象にしている。この互換性パッチは、6月に IE 用セキュリティ更新が出るまで機能するという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール