米国 Microsoft は11月の月例パッチを公開した。今回もまた、Internet Explorer がそのリストの筆頭にあがっている。今回のパッチで Microsoft が公開したセキュリティ情報は8件で、19件のセキュリティ脆弱性に対応している。

Microsoft、11月の月例パッチを公開 ― IE のゼロデイ脆弱性に対応
19件の脆弱性のうち、11件は Internet Explorer に直接関連したものだ。その中には、すでに脆弱性の悪用が確認されている「CVE-2013-3918」も含まれる。

Microsoft のセキュリティ情報によれば、この脆弱性は InformationCardSigninHelper クラス ActiveX コントロールに存在するものだという。

「この脆弱性では、ユーザーが Internet Explorer で特別に細工された Web ページを表示し、ActiveX コントロールをインスタンス化した場合、リモートでコードが実行される可能性があります」

Microsft はこのゼロデイ脆弱性に対し、セキュリティ情報「MS13-090」を提供。影響を受けるコントロールが Internet Explorer で実行されないよう Kill Bit を設定することで対応している。

この Microsoft の対応に関して、Qualys の CTO である Wolfgang Kandek 氏は次のように述べた。

「この脆弱性を根本的に解決するには、ActiveX コンポーネントと、アドレス情報をリークしている Windows コンポーネントに対応したパッチを待たなければならない。だが、現在確認されている攻撃に対しては、MS13-090 で十分対応できるだろう。このパッチがあれば、将来本当のパッチが到着するまで待つことができる」

このゼロデイ脆弱性パッチに加えて、Microsft は IE に対する累積パッチ「MS13-088」も公開した。「MS13-088」は、IE に関する脆弱性10件に対応している。

通常、Microsft は、IE に関するアップデートを1つのセキュリティ情報にまとめる。だが、11月の月例パッチでは、Microsft は異なったアプローチを取った。IE のゼロデイ脆弱性に対応した「MS13-090」と、IE の累積的なセキュリティ情報「MS13-088」を、別に提供したのだ。

セキュリティ企業 Tripwire のテクニカルマネージャである Tyler Reguly 氏は、システム管理者に対して、注意を促している。

「最大の懸念は、システム管理者が IE の累積パッチである『MS13-088』を、ゼロデイ脆弱性に対応したパッチだと勘違いしてインストールしてしまうことだ。我々は、ゼロデイ脆弱性に対するパッチは『MS13-090』に存在することをすべての人に対して明確に伝える必要がある」

 
Microsoft は「MS13-090」で1つのゼロデイ脆弱性に対応した。だがパッチ未適用のゼロデイ脆弱性は他にも残されている。TIFF 形式グラフィックファイルの脆弱性を突いた攻撃が確認されているのだ。Microsft はこの脆弱性に「Fix it」で対応しているが、パッチはまだリリースされていない。

イメージ

Reguly 氏はこの脆弱性に対する懸念を表明している。

「私は、Microsoft がこの件に関する緊急パッチをリリースすることを望んでいる。だが実際には、12月の月例パッチを待たねばならないだろう。それまでの間、システム管理者はネットワーク監視を強化するしかない。もし可能であれば、TIFF ファイルの使用を禁止することだ」

この脆弱性が1週間前に明らかになって以降、多くのアタッカーがこの脆弱性をリバースエンジニアリングしていると Kandek 氏は述べた。

「マシンのレジストリを変更することをお勧めする。システム管理ツールを利用しても良いし、Microsft が提供している Fix it を利用するのも良いだろう」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。