1回のパッチチューズデーで修正された脆弱性の数、あるいはセキュリティ情報の最多件数という記録は破っていませんが、マイクロソフトはそれに近い記録を達成しました。2013年2月のパッチチューズデーでは、なんと12件ものセキュリティ情報がリリースされ、57件もの脆弱性が修正されました。
Lumensionのセキュリティおよびフォレンジックアナリスト、ポール・ヘンリー氏は、「今月は多くのIT管理者にとって厳しいバレンタインデーになりそうです。Javaの問題が継続中で、Microsoftからのセキュリティ情報も12件(うち5件は重大な問題で、多くの再起動が必要)と相まって、パッチ火曜日は非常に混乱するでしょう」と述べています。
一方、Rapid7のセキュリティエンジニアリング担当シニアマネージャー、ロス・バレット氏は前向きな姿勢を崩さない。「プラス面としては、今月修正された脆弱性のうち、実際に悪用されているものは一つもありません。」
これは確かに朗報ですが、IT管理者にはまだやるべき仕事が山積みです。ヘンリー氏は、「今月、これほど多くのMicrosoftプラットフォームが深刻な影響を受けていることに気がかりです。Windows XPから新しいWindows RTまで、すべてが深刻な影響を受けています」と指摘しています。
さて、マイクロソフトは今月、どんなセキュリティ情報を用意しているのでしょうか?12件のセキュリティ情報のうち、5件は「緊急」、残りはすべて「重要」と評価されています。パッチはWindows、Office、.NET Framework、Microsoft Server Softwareにまで及び、Internet Explorerに関するセキュリティ情報は2件も公開されています。どちらも「緊急」レベルです。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、Internet ExplorerとFlashの脆弱性を直ちに修正する必要があると強調しています。どちらもリモート実行のバグであり、深刻な悪用リスクをはらんでいます。
ストームズ氏は、「本日、Internet Explorerの全バージョンに影響を及ぼす合計14件のCVE(脆弱性)を含む2つのセキュリティ情報を受け取りました。どちらのセキュリティ情報も、被害者がウェブサイトを閲覧するだけで悪意のあるコードに感染する「ドライブバイバグ」を修正しています。」と説明しています。
QualysのCTOであるWolfgang Kandek氏も、Internet Explorerが最優先事項であることに同意し、各セキュリティ情報で何が修正されているかについてもう少し詳しく説明しています。彼によると、MS13-009はInternet Explorerのコアアップデートで、13件の脆弱性を修正しています。一方、MS13-010はActiveX DLL(ダイナミックリンクライブラリ)の脆弱性を修正しています。しかし、Barrett氏のコメントとは対照的に、Kandek氏はActiveXの脆弱性が特に緊急であるのは、実際に悪用されているケースが多いためだと述べています。
BeyondTrustのCTO、マーク・メイフレット氏は、Internet Explorer以外にも緊急性の高い問題があると指摘しています。「今月対処されたTCP/IPの脆弱性は、かなり深刻なものになりそうです。これは、Vista以降のWindowsバージョンに影響を与える、認証されていないリモートサービス拒否攻撃の脆弱性であり、回避策はありません。」
そして、ここでもMicrosoftだけが脅威ではありません。Adobeも注意すべきパッチをいくつかリリースしています。FlashとShockwaveのリモートコード実行の脆弱性が修正されています。ストームズ氏は、「攻撃が成功すると、感染したシステムを完全に制御できるようになる可能性があるため、Adobeのアップデートも同様に重要です」と述べています。
一般ユーザーやほとんどの中小企業は自動更新を有効にする必要があります。自動更新を有効にすると、PCはパッチのダウンロードとインストールのみを行い、再起動が必要になります。IT管理者は、Adobeから提供されるすべてのセキュリティ情報とアップデートを確認し、緊急度と影響度の高い順にパッチを適用する計画を立ててください。
