米国 Microsoft は4月の月例パッチを公開した。14 件のバグを修正する9件のセキュリティ更新プログラムを提供している。

Microsoft が4月の月例パッチを公開―だが、ブラウザハッキングコンテスト「Pwn2Own」で発見された IE の脆弱性には今回も対応せず
4月の月例パッチでは多くの問題が修正されているが、3月に実施されたブラウザハッキングコンテスト「Pwn2Own 2013」で発見された脆弱性は修正されていない。同イベントでは、セキュリティリサーチグループ VUPEN が Internet Explorer 10 で複数のゼロデイ脆弱性を突いた攻撃に成功していた。その脆弱性の詳細については、イベント開催者である HP TippingPoint から Microsoft に対し公式に伝えられている。

Microsoft は3月の月例パッチの公開時にも、Pwn2Own で指摘された脆弱性に対応しなかった。

Pwn2Own バグへの非対応

nCircle のディレクター Andrew Storm 氏は、この件について次のようにコメントしている。

「私は、Microsoft が Pwn2Own で発見された脆弱性に、いまだに対応していないことに驚いている。迅速なパッチの提供は、ブラウザシェアを巡る戦いにおける非常に重要な要素だ」

Google と Mozilla はどちらもすでに、Pwn2Own で発見された脆弱性に対応済みだ。Storm 氏は、Pwn2Own で発見されたバグは一般には公開されないため、その脆弱性が突かれる可能性は低く、これが Microsoft の対応を鈍いものにしているのではないかと述べている。

一方で、Qualys の CTO である Wolfgang Kandek 氏は InternetNews.com に対し、Microsoft が Pwn2Own バグに対応しなかったことに驚いていないと述べた。

「Pwn2Own が大規模な目立ったイベントであるにも関わらず、Microsoft は Pwn2Own からの報告を他の ZDI アドバイザリーと同じレベルで取り扱っている。Internet Explorer に対して ZDI から報告された他の脆弱性の状況を見ればわかるが、それらの一部は2か月近くも放置されているのだ。我々は、Pwn2Own に対するパッチは、来月リリースされるのではないかと見ている」

解放済みメモリ問題

Microsoft は Pwn2Own で発見された脆弱性にこそ対応しなかったが、4月の月例パッチでは、IE で発見されたいくつかの重要な脆弱性に対応している。MS13-028 では、解放済みメモリに関する2件の緊急とされる脆弱性を修正している。この脆弱性は、Web ページを IE で表示した際に、アタッカーによる悪意のあるコードを実行可能にしてしまう可能性を持つものだ。

この2つの脆弱性を Microsoft に報告したのは、Google のセキュリティチームだった。Google も解放済みメモリ問題には苦しんでおり、定期的に Chrome ブラウザに対するパッチをリリースしている。

Google は解放済みメモリ問題を発見する「Address-Sanitizer」と呼ばれるオープンソースのツールを開発している。Google がこの2件の脆弱性発見に Address-Sanitizer を利用したかどうかについて、Microsoft は公開していない。Qualys の Kandek 氏は、2つの脆弱性は手動プロセスによって発見されたのではないかと推測している。

「Address-Sanitizer の利用にはソースコードが必要だ。バイナリレベルでも動作はするが、その場合機能は制限されると私は考えている」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。