10月の第1木曜日です。毎月第1木曜日に何が起きるかご存知ですか?Microsoftは、毎月第2火曜日(通称「Patch Tuesday」)にリリース予定のセキュリティ情報を事前にお知らせします。
9月のパッチ火曜日は異例の軽微なアップデートとなり、MicrosoftはInternet Explorerへの攻撃に悪用されるゼロデイ脆弱性の脅威への対応を迫られました。Microsoftは、脅威の緊急性を反映し、アウトオブバンドパッチをリリースしました。
10月はIT管理者にとって少し忙しくなります。2012年10月のMicrosoftセキュリティ情報事前通知によると、Microsoftは来週、合計7件の新しいセキュリティ情報をリリースする予定です。7件のうち6件は「重要」と評価されていますが、7件目はMicrosoft Wordの全サポートバージョンに影響を及ぼす脆弱性に対するパッチであり、Word 2010では「緊急」と評価されています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、Microsoft Wordのパッチの緊急性を強調しています。「最も深刻に見えるのは、最新のWord 2010では「緊急」と評価されたにもかかわらず、Word 2003では「重要」に格下げされたという、珍しいMicrosoft Wordのアップデートです。Wordの全バージョンに影響を及ぼす重大なバグを最後に見たのはいつだったか思い出せません。Wordが企業にとってほぼ常にセキュリティ問題の源泉だった、あの忌まわしい時代を思い出すのです。」
Rapid7のセキュリティ研究者、マーカス・ケアリー氏は、この脆弱性は悪意のあるファイルを開く、あるいはプレビューするだけでも引き起こされる可能性があると指摘しています。「この脆弱性が悪用された場合、システムが完全に侵害される可能性があります。これはOfficeの脆弱性であるため、WindowsとMacintoshの両方のユーザーに影響を与える可能性があります。」
Bulletin 7のような一部のセキュリティ情報は、潜在的に警戒すべき事実を示唆しています。このセキュリティ情報は2000年以降のSQL Serverのバージョンに影響し、10年以上も再利用されてきたコードの欠陥を指摘しています。CORE Securityのシニアプロダクトマネージャー、アレックス・ホラン氏は次のように述べています。「影響を受けるバージョンの数を見れば、これらの脆弱性はかなり長い間存在し、ソフトウェアの何世代にもわたってユーザーの知らないうちに悪用されてきた可能性があるとすぐに判断できます。」
nCircleのStorms氏は、MicrosoftがRSA鍵の許容鍵長の変更が間近に迫っていることを最後に改めてお知らせするとも述べています。「まだ修正していない場合は、もうすぐ修正の時が来ます。鍵長が短すぎるとMicrosoftアプリケーションが動作しなくなりますので、もう一度確認してみる価値はあるかもしれません。」
詳細については、来週火曜日に Patch Tuesday のセキュリティ速報が正式にリリースされるので、ぜひご覧ください。
