米国 Microsoft は2月の月例パッチをリリースした。このパッチは、セキュリティの専門家を驚かせるものとなっている。

Microsoft、2月の月例パッチをリリース―事前通知にはなかった IE の脆弱性24件に対応
Microsoft は月例パッチリリース前に、「セキュリティ情報の事前通知」を公開し、システム管理者と利用者に対して、その月のアップデート内容を事前に予告している。2月の事前通知では、Microsoft は5件のセキュリティ情報を公開予定としており、その中には Internet Explorer(IE)Web ブラウザに関するものはないとしていた。だがふたを開けてみると、24件の IE 脆弱性に対応したアップデートが含まれていた。

IE セキュリティアップデートは、バージョン6から11までの IE に影響を与え、非公開で Microsoft に報告された脆弱性23件と、公開されていた脆弱性1件に対応している。Microsoft はセキュリティ情報でこれらを次のように説明している。

「最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。攻撃者により、最も深刻な脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります」

2月の月例パッチは、セキュリティの専門家たちを驚かせた。Qualys の CTO である Wolfgang Kandek 氏は eWeek に対し、次のように語った。

「私は事前通知に、IE が含まれていないことに驚いていた。ZDI や iDefense からのバグ報告状況からみて、Microsoft には IE に対するセキュリティ修正がリリースできない何らかの理由があるのだろうと推測していた」

Kandek 氏は考えうる“何らかの理由”の1つとして、Microsoft が3月の Pwn2Own イベントを待っていたから、というものをあげた。だが、そのような理由での遅延は、プロフェッショナルらしからぬことだとも述べている。

「Microsoft が技術的な問題を抱えていたと考えるのが、より自然だろう。結果的には2月の月例パッチでは、IE に対する多くのパッチがリリースされたのだから」

Rapid7 の上級マネージャである Ross Barrett 氏は eWeek に対し、Microsoft はパッチのテストが完了していなかったため、事前通知に IE パッチを含めることができなかったのだと述べた。

「Microsoft は週末にテストを完了させ、リリースにこぎつけた」

IE に対するパッチの他に、今回の月例パッチには1件、触れておくべき修正が含まれている。.NET Framework の脆弱性に対応した「MS14-009」がそれだ。Tripwire のセキュリティリサーチマネージャである Tyler Reguly 氏は、この修正は「Slowloris」に関連したものだと述べた。Slowloris を利用した攻撃が最初に確認されたのは、2009年のことだった

Slowloris HTTP DoS

「これまで、この攻撃に対する防御策はそれほど多くは公開されてこなかった。私は Microsoft がこれに対応したパッチをリリースしたことに驚いているわけではない。この問題が解決されたのは、素晴らしいことだ。だが、解決にこれほどの時間がかかったことには驚いている」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。