Microsoft、Adobe、Oracleからの重要なアップデート

今日は2010年の第2火曜日、つまり1月の第2火曜日なので、パッチ火曜日となります。マイクロソフトは今月、セキュリティ情報を1件のみ公開し、2010年をゆっくりと迎えました。

Microsoft の Light Month

Microsoft は、1 月のセキュリティ情報を 1 つ公開して 2010 年を迎えました。

マイクロソフトのセキュリティ情報MS10-001は、組み込みOpenTypeフォントエンジンの脆弱性に影響します。このセキュリティ情報の深刻度は「緊急」ですが、この深刻度はWindows 2000システムにのみ適用されます。その他のバージョンのWindowsでは、この脆弱性の深刻度は「低」と評価されています。

nCircleのシニアセキュリティエンジニア、タイラー・レグリー氏は、Microsoftのアップデートを「ほぼ些細な」と評した。「新年早々、ゆっくりとしたスタートですね。たった一つのパッチで、研究の観点から見ても興味深いものではありません。すべてのパッチは真剣に受け止めるべきですが、今回の問題はすぐに消火しなければならないほど深刻なものではなく、定期的なパッチ適用サイクルに組み込むことができるでしょう。」

nCircleのセキュリティ担当ディレクター、アンドリュー・ストームズ氏は、通常パッチの評価と適用に費やされる時間を、他の価値ある取り組みに充てることを提案しています。「マイクロソフトのパッチ火曜日は、今回は非常に軽めのリリースです。ITセキュリティチームは、この状況を利用して、日常的な作業に取り組まなければなりません。今月は、古くなったマイクロソフトのシステムをすべて探し出し、2009年の脆弱性に対する必要なパッチを適用しましょう。」

しかしストームズ氏は、「今月修正されなかった未解決のバグの一つは、11月中旬から存在していたSMBのサービス拒否攻撃の脆弱性です。マイクロソフトがこのバグをこれほど長い間放置していたことから、この脅威は多くの人が考えていたほど深刻ではないことが明らかになりました」と付け加えました。

AdobeとOracleが競争に参入

Adobe と Oracle は Microsoft と同じセキュリティ更新およびパッチリリースサイクルに従っていませんが、偶然にも両社とも本日、独自の重要な更新をリリースしました。

セキュリティ専門家は、今年のマルウェア攻撃はマイクロソフトよりもアドビに集中するだろうと予想している。

Adobeは、年末商戦以降、実際に悪用されているAdobe Readerのゼロデイ脆弱性を修正する四半期パッチを公開しました。一時的な回避策として、Adobeは悪用されているJavaScript関数をブラックリストに登録することを推奨しています。

nCircleのStorms氏は、「かつて最も安全な文書形式と考えられていたAdobe PDFが、深刻なセキュリティ脅威の犠牲になってしまった。セキュリティ問題が1年続いた後、Adobeの製品セキュリティと安全な製品開発の実践は深刻な疑問視されている。Microsoft Office文書がPDF文書よりも安全になるという状況にまで至っているかもしれないと考えると、皮肉なことだ」と述べた。

ストームズ氏は、Adobeが推奨する回避策についてもコメントしました。「この脆弱性をめぐる論争の一部は、AdobeがJavaScriptを無効にすることを推奨する緩和策をアドバイスしたことにあります。JavaScriptとAdobeを取り巻くセキュリティ問題により、なぜAdobeのPDF製品にJavaScriptが含まれているのか、多くの人が疑問を抱いています。」

QualysのCTO、Wolfgang Kandek氏はさらに次のように説明しています。「ブラックリスト機能は、Adobeが2009年10月にAdobe Reader v9およびv8の最新アップデートで導入した機能ですが、多くのIT管理者にはまだ馴染みがないかもしれません。代替案として、Adobe ReaderでJavaScriptを完全に無効にすることをお勧めします。2009年のAdobe Readerの脆弱性攻撃においてJavaScriptが大きな役割を果たしたため、これは有効な予防策および防御策となります。この設定により、ユーザーが必要とする可能性のある機能が無効になるため、IT管理者は個々の状況を評価する必要があります。」

Oracleもこれに加わり、四半期ごとに独自のパッチを公開しました。今回のOracleアップデートには、7つの異なるOracle製品に影響を与える合計24件のアップデートが含まれています。これらの脆弱性のほとんどは認証なしでリモートから悪用可能であり、深刻なセキュリティ上の懸念事項となっています。データベースサーバーはネットワークに公開すべきではありませんが、IT管理者は影響を受けるアプリケーションサーバーを精査し、サーバーがさらされているリスクの程度を判断する必要があります。

ゼロデイ攻撃

Qualysのカンデック氏はまた、ロシアのセキュリティ調査会社Intevydisが先週、今後3週間でサーバーベースのゼロデイ脆弱性を公開する計画を発表したことを指摘した。「最初の2つはすでに公開されており、Sun Directory Server 7.0とTivoli Directory Server 6.2のPOC（概念実証）コードが利用可能です。これらのリリースを監視しており、今後の展開については引き続きお知らせします。」

Tony Bradley は@PCSecurityNews としてツイートしており、彼のFacebook ページで連絡を取ることもできます。