米国 Microsoft は3月の月例パッチをリリースした。合計で23件の脆弱性に対応している。

Microsoft、3月の月例パッチを公開 ― 18件の IE 脆弱性を含む23件のセキュリティ脆弱性に対応
全23件の脆弱性のうち、Internet Explorer に関するものは18件に及ぶ。その中には、2月13日に公開で報告された「CVE-2014-0322」も含まれている。この脆弱性を悪用した攻撃はすでに確認されていたが、Microsoft は緊急パッチではなく「Fix it」の公開でこれに対応していた。

セキュリティの専門家たちは、Microsoft が「CVE-2014-0322」に対する緊急パッチをリリースしなかった理由を推測している。CORE Security の Ken Pickering 氏は eWeek に対し、次のように述べた。

「Microsoft が、すでに攻撃が確認されているこのゼロデイ脆弱性に対して注目していたのは間違いない。緊急パッチをリリースしなかった理由は不明だが、パッチの十分なテストができず、今回の月例パッチのリリース日まで公開がずれ込んでしまったのではないだろうか」

CORE Security の Tommy Chin 氏は、「CVE-2014-0322」に対する緊急パッチがリリースされなかった理由は、影響を受ける利用者が少ないためだと推測している。影響を受けるのは、Adobe Flash を利用し、Microsoft の Enhanced Mitigation Experience Toolkit(EMET)を利用していない IE10 ユーザーのみだ。

「CVE-2014-0322」は、アドレス空間配置のランダム化(Address Space Layout Randomization:ASLR)セキュリティ技術を回避するもの。その際には、IE のメモリ破損がデータ実行保護を無効にしてしまう脆弱性を悪用しているが、その被害規模は大きくはないと Chin 氏は付け加えた。

Silverlight


3月の月例パッチで注目すべきは、Microsoft だけでなく、Apple OS X ユーザーにも影響を与える「MS14-014」だ。これは、Silverlight の脆弱性に対応している。

Microsoft の Dustin Childs 氏は公式 Blog で、Silverlight 脆弱性に対する攻撃は確認されていないと述べている。

「今回のアップデートは、アタッカーが悪用していた ASLR 保護の回避経路を塞ぐものだ。今回のようなアップデートにより、アタッカーの侵入コストは増加し、アタッカーはコード実行を実現するための別の方法を探さねばならなくなる」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。