米国 Microsoft は5月1日、「CVE-2014-1776」として認識されている Internet Explorer(IE)のゼロデイ脆弱性に対応した緊急パッチをリリースした。同脆弱性は、4月26日に明らかになったものだ。

Microsoft、IE のゼロデイ脆弱性に対応した緊急パッチを Windows XP 向けにリリース
このゼロデイ脆弱性は、IE のバージョン6、7、8、9、10、11 に影響を与え、悪用されるとリモートからのコード実行を許す可能性がある。だが、「CVE-2014-1776」が話題となった最大の理由は、この脆弱性が4月8日にサポート終了となった Windows XP に影響を与えるものだったことだろう。

Microsoft Trustworthy Computing の GM である Adrienne Hall 氏は、声明で次のように説明している。

「製品のセキュリティは、Microsoft が最重要視している分野だ。今回の脆弱性について報告を受けたとき、我々はこの問題をできるだけ迅速に、Microsoft のすべての顧客に向けて修正すると決断した」

“すべての顧客”には、Windows XP ユーザーも含まれている。とはいうものの、Microsoft が Windows XP に対するサポート方針を転換したわけではない。Microsoft Trustworthy Computing のグループマネージャーである Dustin Childs 氏は、Blog への投稿で次のように述べている。

「Microsoft は、Windows XP ユーザーに向けてセキュリティアップデートをリリースすることを決断した。だが、Microsoft は Windows XP をもはやサポートしてはいない。我々は顧客に向けて、引き続き Windows 7 や 8.1 といった新しい OS へ移行するよう推奨していく」

今回のアップデートには、非常に興味深い点が2つある。

1つ目は、今回のアップデートが 2014年最初の IE 向け緊急パッチであるという点だ。Microsoft は通常、月に1回「月例パッチ」をリリースする。ここ最近では、月例パッチ以外で緊急パッチをリリースするケースはほとんどなかった。例えば2月13日、FireEye は「CVE-2014-0322」で認識される IE ゼロデイ脆弱性を報告したが、Microsoft がこれに対応したのは3月11日の月例パッチ。緊急パッチはリリースされなかった。

2つ目は、今回のアップデートに Windows XP 向けのパッチが含まれていたことだ。多くの人々は、IE に新たなゼロデイ脆弱性が発見される度に、Windows XP のセキュリティリスクが高まっていくと考えていた。だが今回の一件は、必ずしもそうとは言い切れないことを表している。

Microsoft は Windows XP ユーザーのセキュリティを真剣に考えているということだろう。たとえ、もうこれ以上 Windows XP をサポートしたくないと表明しているにしても。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。