Microsoft (NASDAQ:MSFT) は10日、4月の月例更新を実施した。セキュリティ関連の更新が0件だった前回とは全く様相が異なり、今回月例更新のタイミングで新規に公開した個別セキュリティ情報の数は5件で、しかもそのうち4件が最大深刻度の「緊急」となっている。なお、月例更新に先立つ3日には、アニメーション カーソルの脆弱性に対応したセキュリティ情報「MS07-017」を公開済みで、これを含めると今回のセキュリティ情報の数は合計で6件だ。
McAfee の Avert Labs でセキュリティ調査およびコミュニケーション担当マネージャを務める David Marcus 氏は、声明で次のように述べた。「MS07-018 と MS07-021 が対応した遠隔コード実行の恐れがある脆弱性については、特に懸念している。これらはいずれも、攻撃対象のシステムで遠隔コード実行を許す危険性がある。ブラウザあるいは Web ベースの攻撃方法が一般化していることも手伝って、これらの脆弱性は、とりわけ危険なものになる可能性がある。一般消費者も企業も、この2件の脆弱性を深刻に受けとめ、リスク評価に基づく管理を行なって、確実に適切な防御措置を取らねばならない」
Marcus 氏はさらに、これらの脆弱性が深刻なことから、管理者は修正パッチの検証を実施しつつ、セキュリティ対策の水準を維持し続けなければならないと述べた。この際、パッチ自体が問題を引き起こす例が少なくないため、修正パッチの検証は重要だ。月例更新に先行して3日に Microsoft が公開した MS07-017 でも、修正パッチに互換性の問題が起きた。
脆弱性管理ソリューションを手がける PatchLink で、製品および市場戦略担当ディレクタを務める Paul Zimski 氏は、取材に Eメールで応えて次のように話した。「(月例更新スケジュール外で公開した分も含む) 5件の緊急修正パッチは、全体として適用作業を行なう組織にとって負担が大きい。それは修正パッチの数が理由ではなく、これら脆弱性の露出範囲がリモート、ローカル、クライアント側と幅広いこと、そして攻撃経路が内部の人間、ターゲットを絞ったフィッシング (スピアフィッシング)、ネットワーク由来の遠隔的な OS 攻撃と幅広いことが理由だ」
(携帯・ワイヤレス 7月19日 12:00)
IT部門のジレンマ、解決します。
