米国 Microsoft は2014年最初の月例パッチをリリースした。Windows、Office、Dynamics AX に関連した6件の CVE に対応する4件のセキュリティ情報が公開されている。

Microsoft が月例パッチをリリース ― IE パッチが含まれていないことに、セキュリティ専門家が驚く
4件のセキュリティ情報の深刻度はどれも「重要」レベルに留まっており、「緊急」とされたものはない。4件のうち、「MS14-002」「MS14-003」はいずれも、Windows カーネルモード ドライバーの脆弱性により特権が昇格される問題に対応したもの。また、「MS14-004」は、Microsoft Dynamics AX の脆弱性により、サービス拒否(Denial-of-Service:DoS)が発生するという問題に対応したものだ。

そして、Microsoft が事前通知で予告していた通り、Internet Explorer(IE)に関する修正は含まれていなかった。この事実はセキュリティ専門家を驚かせている。
 
CloudPassage の上級ディレクターである Andrew Storms 氏は eWeek に対し、今月のパッチに IE が含まれなかったことに驚き、唖然としたと述べた。

「IE に関する未処理のバグが無くなったわけではないと思う。おそらく、Microsoft は今月リリースするパッチの検証が、十分にできなかったのではないだろうか。ホリデーシーズンの影響もあると思う」

Qualys の CTO である Wolfgang Kandek 氏も eWeek に対し、2014年最初の月例パッチに IE アップデートが無いことに驚いたと語った。

「(IE に対するパッチは)毎月リリースされるべきだ。だが、1月のリリースに間に合ったパッチがなかったのは明らかだ」

Tripwire の Tyler Reguly 氏は eWeek に対し、IE パッチがリリースされない月は以前にもあったことを指摘した。

「近い将来(おそらくは2月)、通常の IE パッチが戻ってくるのは間違いないだろう」

1月の月例パッチでは IE のパッチがなかったことだけでなく、全体のパッチ数が少なかったことも注目に値する。だが Microsoft がセキュリティに関する緊急事態を見逃しているわけではなさそうだ。Storms 氏、Kandek 氏そして Reguly 氏は、現時点では Microsoft が緊急に対応しなければならないアクティブなゼロデイ脆弱性は、彼らの知る限りないと述べている。

とはいうものの、セキュリティ情報が4件しかなかったことが Microsoft 製品から脆弱性がなくなりつつあることを意味しているわけではないと、Kandek 氏は述べた。

「そのような状態にはまだ遠いと私は見ている。だが、セキュリティ情報が減少したのは、Microsoft のワークフローが進化したこと、セキュリティ研究者や ZDI や iDefense などの組織が脆弱性を Microsoft に知らせ続けたことの成果ではあるだろう」

Reguly 氏はホリデーシーズンがパッチ数の減少した理由の1つであるだろうと推測している。生産性は、コンピューターセキュリティのようなクリティカルな分野においても、大きな休日の前後では低下する。これは、人生の現実であると Reguly 氏は述べた。

では、Microsoft の月例パッチリリースワークフローとはどのようなものなのか?

Microsoft Trustworthy Computing の Dustin Childs 氏は eWeek に対して、Microsoft は新たに発見された脆弱性を注意深く調査していると述べた。脆弱性に対するパッチは、影響を与える OS とアプリケーション上で徹底的にテストされ、動作が確認された後にリリースされるという。

「Microsoft は個々のパッチを注意深く検査し、その品質とアプリケーションの互換性を徹底的に評価する。ビルドされたパッチは、影響を与える OS やアプリケーションとのテストをパスしなければならない。その後、世界の市場と言語に向けてローカライズされる」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。