米国 Microsoft は12月の月例パッチを公開、11件のセキュリティ情報に対応した。そのうちの6件は深刻度が「緊急」とされるものだった。

Microsoft、2013年最後の月例パッチを公開
今回のパッチリストのトップにあるのは、TIFF 画像に関連した脆弱性。この脆弱性を悪用した標的型攻撃は以前から確認されていたが、11月の月例パッチでは完全な対応がなされなかった。

12月のセキュリティ情報「MS13-096」では、この脆弱性は「Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される」ものであると説明されている。この脆弱性を悪用すれば、攻撃者は利用者の PC を乗っ取ることが可能になると、Microsoft は警告している。

Microsoft はこの脆弱性への対応に、一か月以上の時間を必要とした。だがセキュリティ企業 Tripwire の Tyler Reguly 氏は eWeek に対し、Microsoft による対応の速さに驚いたと述べた。

「影響が及ぶコードの複雑さや製品の範囲を考えたとき、Microsoft はこの脅威に迅速に対応したといえる」

Tripwire の Craig Young 氏は次のように付け加えた。

「Microsoft が Fix it を素早くリリースしてこの件に対応したことも、忘れてはならない」

Fix it とは、パッチがリリースされるまで、脆弱性のリスクを軽減する目的で発行される一時的な対処方法だ。

Microsoft がリリースした Fix it

12月の月例パッチにおけるもう1つの重要なアイテムは、Internet Explorer に対する累積パッチ「MS13-097」だ。Microsoft は11月の月例パッチではゼロデイ脆弱性に対応したが、12月のパッチでは、非公開で報告された、未だ攻撃が確認されていない脆弱性にのみ対応している。Microsoft はセキュリティ情報で次のように警告している。

「最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。攻撃者により、最も深刻な脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります」

MS13-097 は非公開で報告された脆弱性ではあるが、この脆弱性の存在を確認する目的で、非公開でその弱点が突かれてしまっていた可能性はある。CORE Security の Tommy Chin 氏は eWeek に対し、次のように述べた。

「非公開で脆弱性を突いた人物が、善良な人たちであることを願いたい」

Qualys の CTO である Wolfgang Kandek 氏は eWeek に対して、Microsoft 製品に関する脆弱性の多くは Internet Explorer で発見されていると述べた。これはセキュリティ研究者も、攻撃者コミュニティも、ブラウザのセキュリティに多くの関心を寄せていることを示している証拠だと同氏は述べる。

「ブラウザに対する攻撃は、まったく衰えを見せない。Microsoft が月例でパッチを公開し、これに対応しているのは良いことだと考える」

とはいうものの、12月の月例パッチでも、現在も攻撃に曝されている脆弱性で対応されなかったものがあった。11月の終わりに、Microsoft はセキュリティアドバイザリ「2914486」で、Windows XP と Windows Server 2003 のカーネル コンポーネントの脆弱性を報告した。

Microsoft はなぜ12月のパッチでこの脆弱性に対応しなかったのだろうか? CORE Security の Tommy Chin 氏は 、Microsoft はリモートからコードが実行可能な脆弱性を先に解決したかったのだろうと推測している。これに対して、2914486 の脆弱性を悪用するには、ローカルでログオンできることが必要条件となる。

「2914486 は特権昇格の脆弱性であり、これはとても危険なものだ。だが、攻撃者がこれを悪用可能な条件が整っている場合に限られる。リモートコード実行の脆弱性をパッチで塞いでしまえば、特権昇格の脆弱性を突くには、有効な資格情報を盗むしかなくなる」

Lumension の Russ Ernst 氏は eWeek に対し、Microsoft が2914486 に対応しなかったことは、驚くべきことではないと述べた。

「『CVE-2013-5065』に記載されているように、この脆弱性はすでに攻撃を受けていることがわかっているが、影響を受けるシステムは Windows XP と Windows Server 2003 に限定されている。攻撃を緩和する方法も公開されているし、影響を受けるプラットフォームの寿命も来年には尽きる。Microsoft がこの脆弱性に対し、今回対応された11件の脆弱性よりも低い優先順位を与えたとしても、不思議ではない」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。