米国 Microsoft が8月のセキュリティ情報8件を公開した。8件のうち3件が深刻度の最も高い「緊急」レベルとなっており、合計で23件の脆弱性に対応している。

Microsoft、8月の月例パッチを公開 ― 3月のハッキングコンテスト「Pwn2own」で報告された脆弱性に対応
「緊急」とされたセキュリティ情報には、今年3月のブラウザハッキングコンテスト「Pwn2Own」で報告されたものへの対応も含まれている。例えば「MS13-059」は、Internet Explorer(IE)向けのセキュリティ情報で11件の脆弱性に対応しているが、そのうち6件は HP ZDI によって Microsoft に報告されたものだ。ZDI マネージャーの Brian Gorenc 氏は次のように述べる。

「今日リリースされたパッチでは、Microsoft は 今年初めの Pwn2Own ハッキングコンテストで研究者が示した IE 脆弱性への対応を続けている」

Pwn2own で報告されたのは、IE の脆弱性だけではない。Gorenc 氏は、「MS13-063」も Pwn2own による恩恵を受けたものだと述べた。このセキュリティ情報に含まれる Pwn2own 脆弱性について、Microsoft は次のように説明している。

「セキュリティ機能の脆弱性は、アドレス空間配置のランダム化 (Address space layout randomization:ASLR)を正しく実装しないことにより発生する。この脆弱性により、主にリモートでコードが実行される脆弱性を悪用する際、またはその過程において攻撃者は ASLR セキュリティ機能をバイパスできるようになる。バイパスされると、その過程で攻撃者は DLL を読み込めるようになる」
 
セキュリティ研究者の中には、Microsoft の Pwn2own 脆弱性への対応は遅すぎると考えるものもいるようだ。セキュリティ企業 Tripwire のディレクター Lamar Bailey 氏は次のように述べている。

「脆弱性の重要度を考えれば、対応には時間がかかりすぎかもしれない。だが、ASLR は非常に複雑なコードなので、時間がかかったのは当然とも言える。IE の脆弱性についても同じことが言えるだろう。IE には IE 6から IE 10まで多くのバージョンが存在し、それが様々な OS 上で何百万人にも利用されているため、QA にかかる時間が膨大なものになるのは仕方がない」

だが、Tripwire の技術マネージャである Tyler Reguly は、パッチがもっと早くリリースされると期待していたと述べた。

「Microsoft がパッチをリリースするまでに6か月要した。だが、私は3か月以内でリリースすべきだったと考えている」

IPv6

セキュリティ企業 Qualys の CTO である Wolfgang Kandek 氏は、IPv6 の脆弱性によるサービス拒否に関するセキュリティ情報「MS13-065」は注目に値するものだとコメントしている。Kandek 氏によれば、IPv6 の欠陥は、アタッカーの新たな標的となる兆しが見えるという。一方、IPv6 に注目するセキュリティ研究者は、まだ少ない。

「セキュリティ研究者は、これまで IPv6 分野にフォーカスしてこなかった。このため、今後はより多くの脆弱性が表面化すると思われる」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。
(この記事は、8月13日付け英文記事の抄訳です)