米国 Microsoft は、4月の月例パッチを公開した。Windows XP 向けの最後のパッチを含む、4件のセキュリティ情報を提供している。

Microsoft、4月の月例パッチを公開 ― Windows XP 向けの最後のパッチを含む4件のセキュリティ情報を提供
今月のパッチの中で、もっとも深刻なものは「MS14-017」だ。これは、Microsoft Word および Office における合計3件の脆弱性に対応している。Microsoft は3件のうち1件を「CVE-2014-1761」として最初に認識し、3月24日にセキュリティアドバイザリ「2953095」を公開して利用者に注意を促していた。

「CVE-2014-1761」には次のようにある。

「特別に細工されたファイルを Microsoft Word が解析処理する際に、任意のコードがリモートから実行可能になる脆弱性が存在する」

Microsoft が「CVE-2014-1761」脆弱性に対するパッチをリリースするまでには、2週間もの期間を要した。だがこの事実は、セキュリティベンダー Trustwave の Karl Sigler 氏を驚かせることはなかったという。Sigler 氏は eWeek による取材に対し、次のように述べた。

「今日リリースされたセキュリティ情報には、IE と MS Publisher 向けの2件のパッチが含まれていた。これらはどちらも、任意のコードの実行を許すものだ。緊急パッチのリリースを避け、これらのパッチを同時にリリースすることは、最終的にはシステム管理者を助けることになる。アップデートプロセスを簡略化できるからだ」

Internet Explorer

「MS14-018」も緊急性の高いパッチだ。これには、非公開で報告された Internet Explorer に関する6件の脆弱性が含まれている。

だが、今回の月例パッチでは、3月に開催されたブラウザハッキングコンテスト「Pwn2Own 2014」で報告された IE の脆弱性は、一件も修正されていなかった。

Apple は、Pwn2Own で報告された Safari の脆弱性に対し、4月1日にパッチをリリースした。Mozilla は、Firefox の脆弱性に対して3月18日に対応している。

Microsoft Trustworthy Computing のグループマネージャである Dustin Childs 氏は eWeek の取材に対しその理由を次のように説明した。

「Microsoft は、Pwn2Own コンテストでリサーチャーによって発見された脆弱性について検証している。我々は、それらの脆弱性を突いた攻撃が確認されておらず、Pwn2Own 関係者がリサーチャーによる発見を公開しない限りは、脆弱性が顧客に影響を与えることはないと判断した」

Windows XP

今回の月例パッチは、Windows XP に対する最後のパッチであるという点で注目されていた。だが、公開されたセキュリティ情報では、IE に対する「MS14-018」のみが、Windows XP ユーザーにも影響を与えるものだった。

Trustwave の Sigler 氏は、Windows XP のサポート終了について次のように述べている。

「Microsoft は Windows XP に対し、業界で想定されるソフトウェアサポート期間をはるかに超えて、13年にもわたる長期サポートを実施してきた。Windows XP はあまりにも古い OS であり、Windows 7 や Windows 8 といったより新しい OS と比較すると、機能だけでなく、セキュリティ保護の設計自体が古い」

Sigler 氏によれば、セキュリティ対策にはパッチがあれば十分というものではないという。セキュリティに強い構造を持つ OS を使用することがより重要であり、古くて、セキュリティに弱い構造を持つソフトウェアの使用は早めに中止するべきだと、Sigler 氏には述べた。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。