今月もパッチ火曜日がやってきました。マイクロソフトは今月、IT管理者とユーザーを忙しくさせる情報が盛りだくさんです。マイクロソフトは5月に10件の新しいセキュリティ情報をリリースしましたが、最も注目に値する、そして最優先すべき2件はどちらもInternet Explorer(IE)ウェブブラウザに関するものです。
Microsoftは今月、合計33件の脆弱性を修正しました。そのうち8件は「重要」と評価されており、Microsoft Word、Publisher、Visio、Lync、.NET Framework、Windowsカーネルなど、幅広いテクノロジと製品に影響を与えます。残りの2件はどちらも「緊急」と評価されており、どちらもInternet Explorerの脆弱性を修正しています。
BeyondTrustのCTOであるMarc Maiffret氏は、MS13-037はサポートされているすべてのバージョンのInternet Explorerに影響し、したがってサポートされているすべてのバージョンのWindowsにも影響を与えると説明しています。彼は、対処された脆弱性のうち3つはInternet Explorerのすべてのバージョンに存在し、攻撃者は最小限の労力で可能な限り広範な脆弱なシステムを狙うために、これらの脆弱性を狙う可能性が高いと指摘しています。MS13-037は、Internet Explorerの予定されていた、あるいは計画されていたアップデートです。一方、MS13-038は、パッチ火曜日のインベントリに急遽、土壇場で追加されたものです。IE8にゼロデイ脆弱性が発見されたのは、わずか2週間前のことでした。
nCircle(Tripwire傘下)のセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は次のように述べています。「予想通り、マイクロソフトは本日、Internet Explorer 8の重要なアップデートをリリースしました。このアップデートは、米国労働省に対する標的型ウォーターホール攻撃で使用されたとされる未解決のゼロデイ脆弱性を修正するものです。今週初めには、同じ攻撃が米国国際開発省(USAID)とエネルギー省の職員にも及んだのではないかとの憶測が出ています。」
ストームズ氏は、マイクロソフトの迅速な対応を称賛しています。アドバイザリからパッチリリースまでわずか11日で完了したことは、ユーザーだけでなくセキュリティコミュニティに対するマイクロソフトの迅速な対応の一例だと指摘しています。
Rapid7のセキュリティエンジニアリング担当シニアマネージャー、ロス・バレット氏も概ね同意しています。彼は、迅速な対応こそがマイクロソフトの真骨頂だとコメントしました。しかし同時に、マイクロソフトのブラウザに毎月大量の重要なアップデートが予定通りに提供されるのは、パッチ適用とサポートモデルの欠陥を示唆していると指摘しています。バレット氏は、アップデートが利用可能になるとバックグラウンドで自動的にパッチを適用する競合ブラウザ、ChromeやFirefoxのようなシステムを採用することをマイクロソフトに提案しています。
QualysのCTOであるWolfgang Kandek氏はブログ記事で、Microsoftだけが唯一の選択肢ではないことを改めて強調しています。Adobeも本日、重要なアップデートをリリースしました。ColdFusion、Reader、Flashのアップデートが含まれています。
