米国 Microsoft は10月の月例パッチを公開した。Internet Explorer(IE)に関する2件のゼロデイ脆弱性に対応している。

Microsoft が10月の月例パッチを公開、IE に関する2件のゼロデイ脆弱性に対応
Tripwire の Tyler Reguly 氏は、今回の月例パッチは、通常と比べて緊急性が高いと述べた。

「IT 担当者の多くは今月のパッチを見て、こう考えているはずだ。

『この2つ目の IE ゼロデイ脆弱性は、どこから来たのか?そして、なぜ我々には知らされていなかったのか?』

今日公開されたパッチに追加されたちょっとした『プレゼント』は、IE パッチインストールの緊急性を、通常よりも高めている」

今日公開された月例パッチで、「緊急」とされるセキュリティ情報は「MS13-080」「MS13-081」「MS13-082」「MS13-083」の4件。このうち、「MS13-080」は、IE に関連する10件の脆弱性を修正するものだ。

MS13-080 で修正される脆弱性には、2週間前のセキュリティアドバイザリで公開された「CVE 2013-3893」も含まれる。Microsoft はこの脆弱性に対する緊急パッチは提供せず、今日まで「Fix it」で凌いできた。Fix it は、リスクを限定的に軽減する「バンドエイド」的なアプローチに過ぎない。

だが、セキュリティベンダー Qualys の CTO である Woflgang Kandek 氏は、Microsoft は CVE 2013-3893 に対して、プロフェッショナルな対応をしてきたと語った。

「Microsoft はこの脅威を認め、Fix it で回避策を提供した。Fix it 提供後は状況を監視し、事態がどのように進行しているかを観察していた」

同時に、Microsoft Active Protections Program(MAPP)のメンバーは、対応策を用意し、顧客保護のための対策を講じていたと、Kandek 氏は述べる。

「Microsoft は、完全なテストを通過していない『緊急パッチ』を提供する用意も済ませていた。だが、不要と判断し、リリースしなかったのだ。この脆弱性に対する攻撃はしきい値を超えることはなく、事態を複雑化させる可能性のある緊急パッチをリリースする必要はないとされた」

今月の月例パッチで「緊急」とされたセキュリティ情報には「MS13-081」も含まれる。タイトルには、「Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される」とある。Core Security の Tommy Chin 氏は、この脆弱性をつぎのように説明している。

「Windows カーネルモードドライバーの脆弱性により、特定状況下で、リモートでコードが実行される可能性がある。攻撃者がこれらの脆弱性を悪用した場合、影響を受けるシステムが完全に制御される可能性がある」

Microsoft は、これら「MS13-080」「MS13-081」に加え、「MS13-083」も最優先でインストールすべきとしている。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。