米国 Microsoft は1月9日、月例パッチの事前通知を公開した。この事前通知は、いくつかの理由で驚くべきものだ。

Microsoft が新年最初の月例パッチ事前通知を公開: IE 向けパッチが含まれていない?
事前通知によれば、Microsoft が1月14日(日本時間1月15日)公開予定としているセキュリティアドバイザリは、わずか4件。これはこれまでの月例パッチと比較してかなり少ない。例えば、12月の月例パッチでは、24の脆弱性を修正する11件のセキュリティアドバイザリがリリースされていた。

4件のセキュリティアドバイザリの深刻度はすべて「重要」と評価されたもの。最も深刻度の高い「緊急」は1件もなかった。また、4件のうち、2件は Microsoft Windows に関連するもの、1件は Microsoft Dynamics AX に関するもの、そしてもう1件は Microsoft Office とサーバーソフトウェアに影響を与えるもの。そう、リストには Internet Explorer(IE)に関連するものが見当たらないのだ。

IE に対する修正は、Microsoft の月例パッチで大きな割合を占め続けてきた。昨年12月の月例パッチでは IE の脆弱性7件が、11月のパッチでは11件が修正されている。

2013年を通じて、Microsoft は積極的に IE の脆弱性に対応してきたし、それらの脆弱性にはすでにアタッカーからの攻撃を受けているものも含まれていた。

現時点では、IE にはアタッカーから攻撃を受けているメジャーなゼロデイ脆弱性は、私の知る限り存在しないはずだ。だが、私が知らないからといって、IE にゼロデイ脆弱性が存在していないというわけではない。事前通知で IE のパッチを含めなかったからといって、Microsoft が月例パッチで IE 向けのセキュリティアドバイザリをリリースしないとは限らない。また、Microsoft Windows に影響するとされているものが、実際には IE にも影響を与えるというケースもあるかもしれない。

だが、もし、今回の月例パッチリリースをきっかけに、IE に対するパッチリリースの頻度が下がっていくのであれば、それは IE に対する既知の脆弱性が減少し始めていることを示すサインとなる。これは、Microsoft とそのユーザーにとって、歓迎すべき傾向となるだろう。

ブラウザはインターネットと接続するための重要な窓口であり、IE はアタッカーとの戦いの最前線に位置するものだ。2014年のこの戦いの進展は興味深いものであるし、Microsoft が IE に対し、今年いくつのパッチをリリースするかも興味深い。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。