米国 Microsoft は7月8日、7月の月例パッチをリリースした。合計で29件の CVE に対応している。そのうち24件は、Web ブラウザ Internet Explorer(IE)に関するものだ。

Microsoft が7月の月例パッチをリリース ― 24件の IE 脆弱性に対応
24件の IE 脆弱性は、Microsoft のセキュリティ情報「MS14-037」にまとめられている。Microsoft は6月の月例パッチでは、59件の IE 脆弱性に対応していた。

24件の IE 脆弱性のうち、10件はネットワークベンダー Palo Alto Networks によって発見されたものだ。Palo Alto Networks の上級サイバーアナリスト Scott Simkin 氏は eWeek の取材に対し、次のように述べた。

「Palo Alto Networks のセキュリティリサーチチームは、Internet Explorer などの広く利用されているソフトウェアに、クリティカルで未知の脆弱性が存在していないか、積極的に検証をしている。我々はこれを、独自に開発した自動化ツールと、人間の手による検証の組み合わせて実施している」

Palo Alto Networks は発見した脆弱性を、Microsoft に報告するだけでなく、自社の顧客保護にも活用していると Simkin 氏は述べた。

Palo Alto Networks が発見した10件の脆弱性は、IE のバージョン6、7、8、9、10、11に影響を与える。10件すべてがメモリ破損に関連した脆弱性で、リモートコードの実行を可能にするものだ。

7月の月例パッチには、今年3月に開催された Pwn2Own ブラウザハッキングコンテストで指摘された IE 脆弱性(CVE-2014-1763、CVE-2014-1765)に対応した修正もふくまれている。

IE に対するパッチリリースが継続することは驚きではないと、IBM Security の X-Force Research マネージャーである Robert Freeman 氏は語る。同氏は eWeek に対し次のように述べた。

「多くの企業・組織が IE をデフォルトブラウザに指定しているため、IE はアタッカーの主要ターゲットになっている。企業・組織が、増加を続ける IE 脆弱性を避けることは困難だ」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。