Microsoft、予告通り月例更新スケジュール外で脆弱性に対応

Microsoft は28日、予告していた月例スケジュール外のセキュリティ更新を実施し、テンプレートベースの C++ 用クラスライブラリ『Active Template Library』(ATL) の脆弱性に対応した。ATL を使って作成した『ActiveX』コントロールなどのプログラムに対する攻撃をかわすためだ。ActiveX コントロールは、同社の Web ブラウザ『Internet Explorer』(IE) のプラグインで、該当の脆弱性は IE に影響する。

具体的には、Microsoft の開発環境『Visual Studio』内にある ATL を修正したセキュリティ情報「MS09-035」と、ATL の脆弱性による影響を緩和するための修正が加わった IE の累積更新として、セキュリティ情報「MS09-034」を公開した。

また、Microsoft の開発環境『Visual Studio』を利用してきたサードパーティ開発者にも影響するおそれがあることから、今回の緊急パッチは、Microsoft の製品という枠組みを超えて問題に対応するものでもある。

今回の更新に先立ち、Microsoft は24日、攻撃の可能性を阻止するために2件の修正パッチを「月例スケジュール外」でリリースすると予告していた。

そして今回の更新が、ネバダ州ラスベガスで開催中のセキュリティ会議『Black Hat USA 2009』(7月25-30日開催) と時期が重なったのは偶然ではない。29日には、同カンファレンスのセッションで ATL の脆弱性を取り上げることになっており、Microsoft の広報担当は、今回の更新がこの状況に対応するものだと認めた。

Microsoft が、月例スケジュール外で修正パッチを公開するのは極めてまれなことだ。そのため、今回のパッチはあまりにも緊急度が高く、月例更新の合間でも投入すべきものという判断があったことを意味する。同社は一貫性を保つため、毎月第2火曜日に脆弱性に対応する最新の修正パッチをリリースしている。次回の月例更新は2週間後の8月11日だが、上記のカンファレンスに詰めかけた人々がすぐに動き始めるとすれば、それではあまりにも時間が空きすぎることになる。

今回 Microsoft が修正パッチと同時に公開したセキュリティ勧告によれば、今のところ、該当の脆弱性を悪用した活発な攻撃活動は広まっていないという。これまで何度も、Microsoft 製品に対するゼロデイ攻撃が発生していることから、今回リリースした2件の修正パッチは、ゼロデイ攻撃に対応する管理者にとって、ある意味で安心材料といえるかもしれない。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール