米国 Microsoft は5月14日、5月の月例パッチを公開した。33件の脆弱性に対応する10件のセキュリティパッチを提供している。

Microsoft が5月の月例パッチを公開 ― Pwn2Own で指摘された脆弱性、米国労働省に対する攻撃で悪用された IE 8 の脆弱性に対応
今回公開された月例パッチのうち MS13-038では、Microsoft は米国労働省に対する攻撃で悪用された IE8 の脆弱性に対応した。Microsoft はこの脆弱性を5月3日に認めセキュリティアドバイザリを公表している。それ以降、同社はこの問題に対応するため、24時間体制で臨んだという。Microsoft の Dustin Childs 氏は声明で次のように述べている。

「Microsoft のエンジニアは、MS13-038 の準備とテストに24時間体制で臨んだ。MS13-038 は、Internet Explorer 8 の問題に対応しており、我々の顧客のセキュリティを守るものだ」

今回公開されたパッチでは、Microsoft は2か月前のブラウザハッキングコンテスト「Pwn2Own 2013」で指摘された IE の脆弱性にも、ついに(やっと?)対応した。3月および4月の月例パッチでは、Microsoft は Pwn2Own 2013 脆弱性に対しては、悪用されたケースが確認されていないことから、対応を見送っていた。

Pwn2Own 2013の脆弱性に対応しているのは、MS13-037。ここでは Pwn2Own で公式に指摘された2件の他、合計11件の IE に関する脆弱性に対応している。残りの9件はすべて非公式に Microsoft に報告されたもの。その中には、メモリの解放後使用に関する問題も含まれていた。

IE ブラウザの脆弱性をめぐるセキュリティ専門家の意見は?

IE のゼロデイ脆弱性に対する Microsoft の対応については、セキュリティ専門家の間では意見が分かれている。nCircle Tripwire のディレクター Andrew Storms 氏は、Microsoft の対応を評価している。

「セキュリティアドバイザリの公開からわずか11日後にパッチをリリースしたのは、セキュリティコミュニティと利用者に対する Microsoft の対応の早さを示すものだ」

だが、Rapid7 のシニマネジャーである Ross Barrett 氏は、今回の素早い対応を評価しつつも、Microsoft のセキュリティへの対応自体には疑問があるとしている。

「Microsoft は、公けとなった問題に素早く応答し、その修正を直近に予定されていた月例のパッチで公開した。このこと自体は評価したい。だが、毎月 Internet Explorer に対する"重要"とされるパッチが大量にリリースされるという事実は、Microsoft のサポートモデルに問題があることを示している」

Barret 氏は Google による Chrome ブラウザを例にとり、自動サイレントアップデートは、ブラウザのアップデート方法としてより優れたモデルであると述べた。このモデルでは、利用者は毎月のパッチリリースを気にする必要がない。また、常に最新のバージョンのみがサポートされるため、IE のように多くのバージョンのブラウザが断片化して存在することもなくなる。これによって、今回米国労働省への攻撃で浮き彫りとなった、IE の特定バージョンのみに存在する脆弱性を悪用されるといった問題を解消または減少させることが可能となる。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。