Microsoft が4月の月例更新実施、しかし未対応脆弱性情報も

この記事のURLhttp://japan.internet.com/webtech/20070412/12.html

Microsoft (NASDAQ:MSFT) は10日、4月の月例更新を実施した。セキュリティ関連の更新が0件だった前回とは全く様相が異なり、今回月例更新のタイミングで新規に公開した個別セキュリティ情報の数は5件で、しかもそのうち4件が最大深刻度の「緊急」となっている。なお、月例更新に先立つ3日には、アニメーション カーソルの脆弱性に対応したセキュリティ情報「MS07-017」を公開済みで、これを含めると今回のセキュリティ情報の数は合計で6件だ。

気になるのは、Microsoft が今月『Microsoft Office』関連のセキュリティ更新を見送ったことだ。Office 関連では、共通脆弱性番号「CVE-2007-0870」にある通り、2月以降『Microsoft Word』で少なくとも1件の脆弱性が見つかっている。

また、ウイルス対策製品ベンダーの McAfee (NYSE:MFE) は10日午後遅く、自社 Blog『Avert Labs Blog』で、Office に新たな複数の未対応脆弱性が存在することが公になったと報告した。このタイミングは、Microsoft の月例更新日とほぼ一致しており、最近同様の事例が多くなっている。一般的にその狙いは、都合良くいけば正式対応まで1か月かかるため、脆弱性を悪用する期間を最大化できることにある。

今回、Microsoft が新規に公開したセキュリティ情報5件のうち4件は『Windows』関連のものだ。この4件中3件の「MS07-019」「MS07-020」「MS07-021」は、深刻度が最大の「緊急」で、もう1件「MS07-022」の深刻度は「重要」となっている。これらのうち、『CSRSS』の脆弱性に対応した MS07-021 は、最新 OS 『Windows Vista』にも影響する。

残る1件は『.NET』技術をベースにした『Content Management Server』の脆弱性に対応する「MS07-018」だ。

McAfee の Avert Labs でセキュリティ調査およびコミュニケーション担当マネージャを務める David Marcus 氏は、声明で次のように述べた。「MS07-018 と MS07-021 が対応した遠隔コード実行の恐れがある脆弱性については、特に懸念している。これらはいずれも、攻撃対象のシステムで遠隔コード実行を許す危険性がある。ブラウザあるいは Web ベースの攻撃方法が一般化していることも手伝って、これらの脆弱性は、とりわけ危険なものになる可能性がある。一般消費者も企業も、この2件の脆弱性を深刻に受けとめ、リスク評価に基づく管理を行なって、確実に適切な防御措置を取らねばならない」

Marcus 氏はさらに、これらの脆弱性が深刻なことから、管理者は修正パッチの検証を実施しつつ、セキュリティ対策の水準を維持し続けなければならないと述べた。この際、パッチ自体が問題を引き起こす例が少なくないため、修正パッチの検証は重要だ。月例更新に先行して3日に Microsoft が公開した MS07-017 でも、修正パッチに互換性の問題が起きた。

脆弱性管理ソリューションを手がける PatchLink で、製品および市場戦略担当ディレクタを務める Paul Zimski 氏は、取材に Eメールで応えて次のように話した。「(月例更新スケジュール外で公開した分も含む) 5件の緊急修正パッチは、全体として適用作業を行なう組織にとって負担が大きい。それは修正パッチの数が理由ではなく、これら脆弱性の露出範囲がリモート、ローカル、クライアント側と幅広いこと、そして攻撃経路が内部の人間、ターゲットを絞ったフィッシング (スピアフィッシング)、ネットワーク由来の遠隔的な OS 攻撃と幅広いことが理由だ」