米国 Microsoft は6月11日、過去最大規模の月例パッチを公開した。「緊急」とされる「MS14-035」では、Web ブラウザ Internet Explorer(IE)に対する59件の脆弱性に対応している。

Microsoft、6月の月例パッチを公開 ― 過去最多となる59件もの IE 脆弱性を修正
IE に対するセキュリティアップデート件数の多さは、一部のセキュリティ専門家を驚かせた。Qualys CTO である Wolfgang Kandek 氏は eWeek に対し、次のように述べている。

「私は件数の多さに驚き、最初はこれまで対応していなかった小さなバグを今回まとめて修正したのではないかと推測した。だがそうではないようだ。今回の脆弱性の多くは、数人の限られたリサーチャーによって発見されたものだったのだ。

これは私の想像だが、リサーチャーたちは新しいツールを開発したのではないだろうか?そのツールは、IE のバイナリ全体をチェックし、コードに繰り返し現れる同一の脆弱性パターンを発見可能なのではないかと思う」

Kandek 氏は、脆弱性発見を自動化する取り組みが増加するのは良いことだと述べた。

セキュリティ企業 Tripwire のセキュリティリサーチマネージャ Tyler Reguly 氏は、別の見解を示した。同氏は、5月の月例パッチを見れば、今月のパッチの状況は不思議ではないと説明する。

「5月のパッチは、緊急パッチの性質を持ったものだった。Microsoft は先月のパッチを緊急パッチ扱いでリリースし、累積的なアップデートを今月にまわしたのだろうと我々は推測している。この推測が正しければ、今回公開されたパッチは、5月分と6月分のパッチを1つにまとめたものだということになる」

Tripwire のデータによれば、6月の月例パッチに含まれる IE に対する CVE の数は、Tripwire がパッチトレンドデータを収集し始めた2009年以来、最多だったそうだ。

■ Pwn2Own で発見され、放置されていた脆弱性

59件の IE セキュリティ脆弱性の中には、3月の「Pwn2Own」ブラウザハッキングコンテストで報告されたものも含まれている。「CVE-2014-1764」と「CVE-2014-2777」への対応は、セキュリティ企業 VUPEN の貢献によると Microsoft はクレジットしている。VUPEN は、Pwn2Own コンテストで今年も突出した成果を上げた企業だ。HP ZDI のマネージャである Brian Gorenc 氏は eWeek に対し、次のように述べた。

「Pwn2Own の結果が、Microsoft によるパッチリリースという成果として現れたことは、とてもうれしい」

だが、Microsoft の脆弱性対応は、時間がかかり過ぎているのではないだろうか?Tripwire のセキュリティリサーチマネージャ Tyler Reguly 氏は、Microsoft が「CVE-2014-1770」に対応するまでに長期間を要したことについて、次のように述べた。

「3月に報告された脆弱性に対し、6月にパッチがリリースされるというのは、他のベンダーの同様なバグに対する対応と比較すれば、妥当であると考えられる。企業が主要アプリケーションのパッチをおよそ90日でリリースできるようであれば、それはかなり良い記録と言えるだろう」

■ TLS サーバーの脆弱性

IE パッチアップデートの一環として、Microsoft は「CVE-2014-1771」として認識される「TLS サーバー証明書の再ネゴシエーションの脆弱性」も修正した。TLS および SSL は、Heartbleed 脆弱性のため、2014年前半のハイテクメディアの見出しを独占した話題だ。Microsoft は、「CVE-2014-1771」について次のように説明している。

「Internet Explorer が TLS セッションで証明書のネゴシエーションを処理する方法に情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、Internet Explorer と、標的である任意のサーバーの間で相互認証される TLS 接続をハイジャックする可能性があります 」

「CVE-2014-1771」が抱える問題はかなり深刻なものだが、Microsoft はこの脆弱性を悪用した攻撃は確認されていないとしている。

■ IE ユーザーは、6月のパッチを直ちに適用すべき

Qualys の Kandek 氏は、IE ユーザーは6月のパッチを直ちに適用するべきと述べる。さらに「Enhanced Mitigation Experience Toolkit(EMET)」の利用も勧めている。

「ブラウザ上で動作し、セキュリティ強化レイヤーを追加する『EMET』の利用を勧める。IE と比較して、アタッカーの攻撃対象となっていない別のブラウザに乗り換えるのも、セキュリティを向上させる1つの方法だ」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。