Microsoft、予告通り月例更新スケジュール外で脆弱性に対応

この記事のURLhttp://japan.internet.com/webtech/20090729/12.html

Microsoft は28日、予告していた月例スケジュール外のセキュリティ更新を実施し、テンプレートベースの C++ 用クラスライブラリ『Active Template Library』(ATL) の脆弱性に対応した。ATL を使って作成した『ActiveX』コントロールなどのプログラムに対する攻撃をかわすためだ。ActiveX コントロールは、同社の Web ブラウザ『Internet Explorer』(IE) のプラグインで、該当の脆弱性は IE に影響する。

具体的には、Microsoft の開発環境『Visual Studio』内にある ATL を修正したセキュリティ情報「MS09-035」と、ATL の脆弱性による影響を緩和するための修正が加わった IE の累積更新として、セキュリティ情報「MS09-034」を公開した。

また、Microsoft の開発環境『Visual Studio』を利用してきたサードパーティ開発者にも影響するおそれがあることから、今回の緊急パッチは、Microsoft の製品という枠組みを超えて問題に対応するものでもある。

今回の更新に先立ち、Microsoft は24日、攻撃の可能性を阻止するために2件の修正パッチを「月例スケジュール外」でリリースすると予告していた。

そして今回の更新が、ネバダ州ラスベガスで開催中のセキュリティ会議『Black Hat USA 2009』(7月25-30日開催) と時期が重なったのは偶然ではない。29日には、同カンファレンスのセッションで ATL の脆弱性を取り上げることになっており、Microsoft の広報担当は、今回の更新がこの状況に対応するものだと認めた。

Microsoft が、月例スケジュール外で修正パッチを公開するのは極めてまれなことだ。そのため、今回のパッチはあまりにも緊急度が高く、月例更新の合間でも投入すべきものという判断があったことを意味する。同社は一貫性を保つため、毎月第2火曜日に脆弱性に対応する最新の修正パッチをリリースしている。次回の月例更新は2週間後の8月11日だが、上記のカンファレンスに詰めかけた人々がすぐに動き始めるとすれば、それではあまりにも時間が空きすぎることになる。

今回 Microsoft が修正パッチと同時に公開したセキュリティ勧告によれば、今のところ、該当の脆弱性を悪用した活発な攻撃活動は広まっていないという。これまで何度も、Microsoft 製品に対するゼロデイ攻撃が発生していることから、今回リリースした2件の修正パッチは、ゼロデイ攻撃に対応する管理者にとって、ある意味で安心材料といえるかもしれない。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。